摘要：日常工作中，经常会查看服务器的网络流量包的情况，通常可以在服务器的本地执行相关的指令查看，比如Tpdump命令。Tcpdump是linux环境下抓包工具，可以对对应网络接口流量进行抓取或者过滤抓取，可以打印输出到屏幕，也可以保存到指定文件。指定的文件可以用wireshark软件来打开查看。可以快速查看符合网络接口符合某一条件的抓包，方便确定网络问题。

本文主要通过实例介绍Linux系统Tcpdump抓包工具的使用方法，详细内容参考下文。

一、登陆Linux系统

登陆Linux

二、Tcpdump命令格式

执行指令# man tcpdump查看其帮助说明

命令格式：tcpdump 跟踪范围 选项和对应参数 表达式

1、跟踪范围可以是某一个接口，也可以是any所有接口。选项和参数完成输出显示符合一定要求功能。表达式完成过滤一些特殊需要的包。

2、选项和对应参数

-D 是显示所有的可跟踪的接口，可以和ip addr配合使用来确定要抓取的网口数字编号或名称；

-i 端口号 是指定抓取网卡的名称或者数字编号；

-n 来关闭dns反向解析功能，-nn是关闭反向查询功能并以数字格式显示ip地址端口号，和url地址。不带这个选项回显会很慢。

-c 用于指定抓取包的包字节数；

-C 用于指定抓取保存文件的大小，单位是兆；

-e 用于显示对应的源，目的的mac地址；

-w 文件路径和文件名，用于指定保存文件的路径和名称，没有指定路径默认在系统默认路径下；

-t 是不显示时间戳，-tt显示时间戳，-ttt显示请求和响应的时间的时间差；

-v 是显示一些协议的详细资料，-vv，-vvv来显示更详细的资料；

-X 是用16进制和asc码显示ip层以上各协议包头；

-x 小写x是用16进制打印从ip层开始的帧内容；

-xx 小写的xx是用16进制打印从数据链路层开始的帧内容；

-X 大写的X是用16进制打印从ip层开始的帧内容；

-XX 大写的XX是用16进制打印从数据链路层开始的；

-G 后面跟秒数，多少秒后重写另一个文件；

-Z 后面跟用户名，表示要用该用户名来执行；

-r 后面跟抓包文件，读取抓包文件

注意：当选项后面没有参数时，可以把几个选项连接起来使用，如-nne，-envv等等。

3、表达式

过滤表达式：协议 方向 关键词 值 可以使用关系符如not非，and与，or或或协议icmp，arp，tcp，sctp，udp，ether，vlan之类；

如要抓包icmp消息，表达式可以写icmp；

过滤arp和icmp消息可以用 arp or icmp；

过滤dhcp消息，就可以用包含udp的端口是68或69的条件实现：

udp port 68 or udp port 69；

方向源src，目的dst。

三、两种抓包形式

1、根据IP抓包

执行指令# tcpdump -i ens192 host 172.*.*.*

或者使用src或者dst执行单项抓包，如下

执行指令# tcpdump -i ens192 src 172.*.*.*

执行指令# tcpdump -i ens192 dst 172.*.*.*

2、根据协议抓包

说明：过滤TCP流量，可以指定tcp，也可以指定使用协议6，这两个命令效果一样。而过滤UDP流量，可以指定udp，也可以指定使用协议17，这两个命令效果也是一样。

执行指令# tcpdump -i ens192 -c 8 tcp

执行指令# tcpdump -i ens192 -c 8 proto 6

备注：上图看出这两个命令查到的信息是一样的。

四、Tcpdump生成抓包文件

说明:通过tcpdump -w文件名称 的格式生成抓包文件

1、执行指令# tcpdump -i ens192 -s0 -w /usr/local/temp/cap1.pcap

或者

2、查看pcap抓包文件

说明：使用wireshark软件查看抓包文件cap1.pcap

五、Tcpdump抓包实例

1、抓包Cookie

说明：通过搜索 Set-Cookie（来自服务器）和 Cookie（来自客户端）来抓包 cookie。

执行指令# tcpdump -i ens192 -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

2、抓包所有ICMP数据包

执行指令# tcpdump -i ens192 -n icmp

3、抓包SMTP/POP3电子邮件

执行指令# tcpdump -i ens192 -nn -l port 25 | grep -i 'MAIL FROM\|RCPT TO'

4、抓包SNMP

执行指令# tcpdump -i ens192 -n -s0 port 161 and udp

5、抓包FTP凭证和命令

执行指令# tcpdump -i ens192 -nn -v port ftp or ftp-data

6、抓包HTTP数据包

执行指令# tcpdump -i ens192 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

7、抓包DHCP数据包

执行指令# tcpdump -i ens192 -v -n port 67 or 68

8、抓包DNS请求和响应

执行指令# tcpdump -i ens192 -s0 port 53

9、抓包所有明文密码

执行指令# tcpdump -i ens192 port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

10、检测网络流量中的端口扫描

执行指令# tcpdump -i ens192 -nn -c 8