TCPDUMP是一款知名的linux抓包工具。Linux作為網絡服務器，特別是作為路由器和網關時，數據的采集和分析是不可少的。TcpDump是Linux中強大的網絡數據采集分析工具之一，一言概之，dump the traffic on a network，是一款根據使用者的定義對網絡上的數據包進行截獲的包分析工具。作為互聯網上經典的的系統管理員必備工具，tcpdump以其強大的功能，靈活的截取策略，成為每個高級的系統管理員分析網絡，排查問題等所必備的工具之一。

 有的朋友可能不太理解，其實說白了，tcpdump就類似我們經常在window客戶端使用wireshark，區別就是一個是圖形界面，一個是命令形式。小編這里為大家提供的TCPDUMP抓包工具，可支持Linux和Unix系統，后問附有詳細的介紹，有需求的用戶還請下載支持。

安裝tcpdump

如果你的系統默認沒有安裝tcpdump，那么你可以使用如下命令，進行安裝：

yum install tcpdump -y

tcpdump參數解析

為了方便大家直觀理解，小編在網上截取了一段參數圖，如下，可以幫助我們更好的理解tcpdump語句的含義。

option：可選參數，可以指定相關參數，輸出特定信息。

proto：類過濾器，指定某種協議的數據包。如tcp。

在開始玩tcpdump時，讀者應該有所了解報文結構，這樣才能更好讀懂tcpdump輸出的信息。

tcpdump命令實例

一、抓取特定網卡 80端口的鏈接情況：

1、我們先用ifconfig查看網卡名稱：

2、輸入下來命令后，打開百度網頁：

可以捕獲到如下信息，截取一部分：

關于上面輸出的內容，格式注釋如下：

第二列：網絡協議 IP

第三列：發送方的ip地址+端口號，其中 221.5.75.35是 ip，而 http是端口號，即80

第四列：箭頭 >， 表示數據流向

第五列：接收方的ip地址+端口號，其中 localhost.localdomain.是 ip，本機，而 42884是端口號。

第六列：冒號

第七列：數據包內容，包括Flags 標識符，seq 號，ack 號，win 窗口，數據長度 length，其中 [P.] 表示 PUSH 標志位為 1。

其中Flags 標識符有以下幾種：

[S] : SYN（開始連接）

[P] : PSH（推送數據）

[F] : FIN （結束連接）

[R] : RST（重置連接）

[.] : 沒有 Flag，由于除了 SYN 包外所有的數據包都有ACK，所以一般這個標志也可表示 ACK

二、如果你覺得命令行不習慣，還是喜歡用wireshark來查看數據包，那么你還可以使用tcpdump來保存.cap文件，然后導出cap文件，就可以用wireshark軟件來打開查看了。

tcpdump-i ens33 port80-w ./20210616.cap（左右滑動一下）

注釋：

-w：參數指定將監聽到的數據包寫入文件中保存，file.cap就是該文件。

./：保存的路徑。

通過ls，可以看到該文件已生成：

輸入linux服務器ip地址（即我虛擬機的ip地址）、賬號、密碼

下載cap文件：

下載到window物理機上：

雙擊，我們就可以使用wireshark來查看數據包了

三、基于協議進行過濾，比如就只抓起icmp報文。

tcpdump icmp

輸完上述命令后，我打開網頁，又進行了ping測試，先ping8.8.8.8，然后中止了，再ping 114.114.114.114.

來看看，命令輸出的結果：

23:05:28.009283 IP http://public1.114dns.com > localhost.localdomain: ICMP echo reply, id 24125, seq 3, length 64

四、-n參數

上面我們看到了，ping 114.114.114.114，tcpdump輸出顯示是域名形式，如果我們希望顯示ip地址，可以加一個參數：-n （即不把ip轉化成域名，直接顯示 ip，避免執行 DNS lookups 的過程，速度會快很多）

tcpdump icmp -n

五、捕獲特定的目的IP地址的數據包。

我在linux服務器上進行ping多個地址（114.114.114.114、223.5.5.5、223.6.6.6），然后我tcpdump只需114.114.114.114的。

tcpdumpicmp-nanddsthost114.114.114.114（左右滑動一下）

and：后面就是加了限制條件，只捕獲指定的目的ip地址為114.114.114.114的報文。

總結

我們都知道，想學會網絡技術，人人都繞不開“抓包”這項技能。只有把設備之間交互的信息讀透了，搞懂它，那么，你在網絡世界里，就能游刃有余，如魚得水。

Tcpdump是著名的sniffer，是一個被很多UNIX高手認為是一個專業的網絡管理工具，記得以前TsutomuShimomura，就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統的記錄，后來就配合FBI抓住了KEVINMITNICK。你能夠利用這個工具檢查訪問你服務器中的文件包信息，監測你網絡中的問題所在。