简介

       你执行 man tcpdump 命令，你会看到文档中对tcpdump的说明是“dump traffic on a network”。可见，tcpdump是一个根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的工具之一。

   tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中，由于它需要将网络接口设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

   安装

       在一些Linux发行版中，Tcpdump通常作为标准的软件包被默认安装，执行“tcpdump”命令能够确定是否已安装了Tcpdump。如果没有安装，你可以通过yum命令，rpm包和源码包三种方式来安装tcpdump。tcpdump依赖于libpcap来捕获网络数据包。因此，我们在安装tcpdump的时候必须也得安装libpcap函数包。

   下面我们对三种方式逐一做介绍。

   yum命令方式安装：

[hailong.xhl@v101080140 ~]$ sudo yum install tcpdump

   这种方式是最省时省心的。如果顺利的话，一个命令就可以解决问题。如果安装的软件依赖其他软件包，安装的时候会提示你被依赖的软件包也需要被安装。

   rpm包方式安装：

   相比yum命令方式，rpm包方式安装会稍微麻烦些。

   首先，我们要从网上下载tcpdump的rpm包。

[hailong.xhl@v101080140 ~]$ wget http://dag.wieers.com/redhat/el5/en/x86_64/testing/RPMS/tcpdump-4.4.0-1.el5.rft.x86_64.rpm

   然后，通过rpm命令安装下载的rpm包。

[hailong.xhl@v101080140 ~]$ sudo rpm -ivh ./tcpdump-3.9.4-15.el5.rpm

   这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。

   源码方式安装：

   源码方式安装是最繁琐的。但是，如果最新的版本发布后，可能网络上还没有提供rpm包下载，也没有被加入到yum源中。这个时候，我们只能通过源码方式安装。

   首先，我们先获取tcpdump的源码。这个源码在tcpdump的官网有下载。官网地址是 http://www.tcpdump.org/。

[hailong.xhl@v101080140 ~]$ wget http://www.tcpdump.org/release/tcpdump-4.6.2.tar.gz
[hailong.xhl@v101080140 ~]$ wget http://www.tcpdump.org/release/libpcap-1.6.2.tar.gz

   然后，解压下载的软件包。

   因为我们下载的软件包是tar.gz格式的压缩包。我们可以使用tar命令对其解压，才能得到源码。

[hailong.xhl@v101080140 ~]$ tar -xvf ./tcpdump-4.6.2.tar.gz
[hailong.xhl@v101080140 ~]$ tar -xvf ./libpcap-1.6.2.tar.gz

   最后，进行源码的安装。

   我们先要对libpcap包进行安装。libpcap也依赖于一些其他软件包。如果在安装过程中报一些错误，可能你需要安装相应的依赖包。

   在编译安装libpcap时，如果出现 “configure: error: Your operating system’s lex is insufficient to compile libpcap.”的错误提示。 说明你没有安装flex软件包。你需要下载安装flex。打开网址 flex.sourceforge.net，下载flex-2.5.35.tar.gz 。然后通过tar -xvf ./flex-2.5.35.tar.gz 命令解压文件。

   如果没有编译安装此文件，在编译安装libpcap时，如果出现 “configure: WARNING: don’t have both flex and bison; reverting to lex/yacc checking for capable lex… insufficient” 的错误提示。 说明你没有安装bison包。打开网址：ftp.gnu.org/gnu/bison/ 下载 bison-2.4.1.tar.gz 软件包，通过 tar zxvf bison-2.4.1.tar.gz 解压文件。

   在编译安装bison-2.4.1时，如果出现 “configure: error: GNU M4 1.4 is required”的错误提示。 说明你没有安装m4。打开网址：ftp.gnu.org/gnu/m4/ 下载 m4-1.4.1.tar.gz软件包，通过 tar zxvf m4-1.4.13.tar.gz 解压文件

   而后依次进入目录m4-1.4.1，bison-1.25，flex-2.5.35，libpcap-1.6.2 tcpdump-4.6.2 并执行以下命令：

[hailong.xhl@v101080140 ~]$ ./configure
[hailong.xhl@v101080140 ~]$ make
[hailong.xhl@v101080140 ~]$ sudo make install

   命令完成后，libpcap网络捕包接口程序方可使用。

   注意：运行此类程序时需要以root的身份运行，因为系统不允许非root用户进行一些网络操作。

   基本使用

   tcpdump的命令格式如下：

   tcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ]

   [ -C file_size ] [ -F file ]

   [ -i interface ] [ -m module ] [ -M secret ]

   [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]

   [ -W filecount ]

   [ -E spi@ipaddr algo:secret,... ]

   [ -y datalinktype ] [ -Z user ]

   [ expression ]

   命令行参数介绍：

   -A      以ASCII格式打印出所有分组，并将链路层的头最小化。

   -c      在收到指定的数量的分组后，tcpdump就会停止。

   -C      在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size

           中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size

           的单位是兆字节(是1,000,000字节，而不是1,048,576字节)。

   -d      将匹配信息包的代码以人们能够理解的汇编格式给出。

   -dd     将匹配信息包的代码以c语言程序段的格式给出。

   -ddd    将匹配信息包的代码以十进制的形式给出。

   -D      打印出系统中所有可以用tcpdump截包的网络接口。

   -e      在输出行打印出数据链路层的头部信息。

   -E      用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。

   -f      将外部的Internet地址以数字的形式打印出来。

   -F      从指定的文件中读取表达式，忽略命令行中给出的表达式。

   -i      指定监听的网络接口。

   -l      使标准输出变为缓冲行形式。

   -L      列出网络接口的已知数据链路。

   -m      从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。

   -M      如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要(详情可参考RFC 2385)。

   -n      不把网络地址转换成名字。

   -N      不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。

   -t      在输出的每一行不打印时间戳。

   -O      不运行分组分组匹配(packet-matching)代码优化程序。

   -P      不将网络接口设置成混杂模式。

   -q      快速输出。只输出较少的协议信息。

   -r      从指定的文件中读取包(这些包一般通过-w选项产生)。

   -S      将tcp的序列号以绝对值形式输出，而不是相对值。

   -s      从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。

   -T      将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用)和snmp(简单网络管理协议；)。

   -t      不在每一行中输出时间戳。

   -tt     在每一行中输出非格式化的时间戳。

   -ttt    输出本行和前面一行之间的时间差。

   -tttt   在每一行中输出由date处理的默认格式的时间戳。

   -u       输出未解码的NFS句柄。

   -v       输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

   -vv     输出详细的报文信息。

   -w      直接将分组写入文件中，而不是不分析并打印出来。

   -x      以16进制数形式显示每一个报文 (去掉链路层报头) . 可以显示较小的完整报文, 否则只显示snaplen个字节.

   -xx     以16进制数形式显示每一个报文(包含链路层包头)。

   -X      以16进制和ASCII码形式显示每个报文(去掉链路层报头)。

   -XX     以16进制和ASCII吗形式显示每个报文(包含链路层报头)。

   -y      设置tcpdump 捕获数据链路层协议类型

   -Z      使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID

   常用参数应用示例与应用场景介绍：

   默认启动

[hailong.xhl@v101080140 ~]$ sudo tcpdump

   tcpdump如果不加任何参数，启动后默认会监视第一个网络接口上所有流过的数据包。

   观察指定接口的网络数据包

[hailong.xhl@v101080140 ~]$ sudo tcpdump -i eth0

   想知道本机都有那些网络接口，可以通过tcpdump -D命令查看。如果想监听所有的网络接口，只要把-i参数值改为any就可以了。即，-i any。

   以ASCII码方式查看数据包

[hailong.xhl@v101080140 ~]$ sudo tcpdump -A

   web程序与其他服务通信多数支持以ASCII格式传输数据。如，向mysql服务端传输的sql语句就是以ASCII码形式进行传输。我们就可以使用-A参数查看传输的具体sql语句。

   把数据写入指定文件

tcpdump -w /tmp/tp.log

   数据写入指定文件后，方便使用其他数据包分析软件进行分析。如 wireshark。在后面，我们将涉及如何使用wireshark分析tcpdump的数据包。

   设置读取数据包的长度

tcpdump -s 200 

   默认读取的长度比较短，如果需要查看的信息被截断了。可以指定此参数。

       tcpdump能够截获指定接口或任何接口的数据包，这取决于如何对tcpdump进行配置。缺省情况下tcpdump一般会显示任何从网络上截获的数据包，但通常这样的信息量过大，不利于分析。因此，tcpdump提供了使用表达式过滤报文条件，来对截获的数据包进行过滤，从而只显示符合特定需要的数据包。下面我们对tcpdump的表达式做下介绍。

       表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文符合表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。在表达式中一般有如下几种类型的关键字。

       第一种是关于类型的关键字，主要包括host，port，net。例如：

#tcpdump host 102.168.1.100

   截获来自和发往主机102.168.1.100的所有报文数据。

#tcpdump net 192.168.1.0/24

   截获来自和发送到网络地址为192.168.1.0/24的所有主机的报文数据，

#tcpdump port 23

   截获所有从23号端口发出，和发往23号端口的报文数据。如果没有指定类型，缺省的类型是host.

       第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明：

#tcpdump src host 102.168.1.100

   截获来自主机 102.168.1.100的所有报文数据

#tcpdump dst net 192.168.1.0/24

   截获发送到网络地址为192.168.1.0/24的所有主机的报文数据 。既可以是名字(存在/etc/networks中),也可以是网络号.

   如果没有指明方向关键字，则缺省是src or dst关键字。

       第三种是协议的关键字，主要包括ip,arp,rarp,tcp,udp等类型。关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

#tcpdump udp

   截获所有udp协议的报文数据。

       第四种是逻辑运算关键字，主要包括，取非运算是 ‘not ‘ ‘! ‘, 与运算是’and’,’&&’;或运算 是’or’ ,’││’；这些关键字可以组合起来构成强大的组合条件来满足人们的需要。

#tcpdump "dst host 192.168.1.100 and (port 80 or port 8080)"

   截获所有发往主机192.168.1.100的80端口或者8080端口的报文数据。

       除了这上面几种类型的关键字之外，其他重要的关键字如下：portrange，gateway, broadcast,less,greater。

#tcpdump -n dst portrange 1-1023

   截获目标端口在1和1023之间的所有报文数据。

#tcpdump greater 20

   截获所有报文长度大于20的报文数据。

   输出信息的基本格式：

       虽然tcpdump会根据指定参数的不同，输出结果有所差异。但是它基本的输出格式相同：系统时间 来源主机.端口 > 目标主机.端口 数据包参数。下面我们来看下集中典型的输出。

       数据链路层头信息：

#tcpdump -e host host2 and port 11211
......
16:49:57.940257 00:16:3e:00:00:2f (oui Unknown) > 00:16:3e:00:6c:fc (oui Unknown), ethertype IPv4 (0x0800), length 110: host1.41684 > host2.11211: P 1036863:1036907(44) ack 839113 win 115 <nop,nop,timestamp 1914224417 1914343362>
......

   16:49:57 是时间。 格式为，小时:分:秒。

   940257 为ID号。

   00:16:3e:00:00:2f 发出数据包主机的mac地址。

   oui Unknown 表面mac地址对应的oui(厂商代码)不能识别。

   00:16:3e:00:6c:fc  数据包目标主机的mac地址。

   ethertype IPv4 (0x0800) 以太网帧所携带的上层数据类型为IPv4。

   110 是数据包的长度。

   host1.41684 表示发送数据包的主机名是host1，端口是41684。

   host2.11211 数据包目标地址主机的主机名是host2，接受数据包的端口是11211。

   P 表示发送数据。

   (44) 表示发送数据的长度是44个字节。

   ack 839113 表示对序列号为839113的包进行响应。

   win 115 表示发送的窗口大小为115。

   TCP包的输出信息：

#tcpdump tcp port 11211
....
17:31:47.143178 IP host1.48232 > host2.11211: S 307816357:307816357(0) win 14600 <mss 1460,sackOK,timestamp 1916733618 0,nop,wscale 7>
....

   17:31:47.143178 是时间

   IP 是协议说明。

   host1.48232 > 是发送端主机和端口。符号 > 表明数据的传输方向。

   host2.11211 接收端的主机名和端口。

   S flags是TCP包中的标志信息(S是SYN标志，F(FIN)，P(PUSH)，R(RST)，”.”(没有标记))。

   第五列 ata-seqno是数据包中的数据的顺序号。

   第六列 ack是下次期望的顺序号。

   第七列 window是接收缓存的窗口大小。

   UDP包的输出信息：

   用TCPDUMP捕获的UDP包的一般输出信息是：

   route.port1 > ice.port2: udp lenth

#tcpdump udp
......
06:03:21.199876 IP v101081217.sqa.zmf.bo56.com.65535 > 224.7.3.1.entextxid: UDP, length 64
......

   UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口，类型是UDP， 包的长度是lenth。

   作业示例：

   观察mysql数据通信。

   ps:

   另外你得了解，为了让网络接口可以让tcpdump监听，所以执行tcpdump时网络接口会启动在“混杂模式(promiscuous)”，所以你会在 /var/log/messages里面看到很多的警告信息，通知你说你的网卡被设置成为混杂模式。别担心，那是正常的。至于更多的应用，请参考man tcpdump了。

   参考资料

   http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html  输出格式

   http://wangjunle23.blog.163.com/blog/static/1178381712012724196814/

   http://blog.chinaunix.net/uid-11242066-id-4084382.html

   http://bbs.chinaunix.net/thread-1508322-1-1.html

   http://blog.csdn.net/jiayanhui2877/article/details/5953725

   http://www.360doc.com/content/11/1013/12/1162697_155701557.shtml#

   http://www.startos.com/linux/tips/2010122818605_5.html

   http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard

   http://blog.csdn.net/chinainvent/article/details/5177877 tcp三次握手

建议继续学习：

1. 神探tcpdump第一招    (阅读：8121)
2. 使用wireshark分析网络报文    (阅读：6578)
3. 记一次丢包网络故障    (阅读：5150)
4. 神探tcpdump第六招    (阅读：4055)
5. 神探tcpdump第四招    (阅读：4008)
6. ssldump    (阅读：3926)
7. 神探tcpdump第三招    (阅读：3955)
8. 神探tcpdump第五招    (阅读：3550)
9. tcpdump匹配http头    (阅读：2531)