详解tcpdump - 技术栈

tcpdump 是一个强大的命令行网络分析工具，用于抓取和分析网络流量。下面是 tcpdump 的常用参数及其详细说明，包含抓取所有网络接口的方法和 -S 参数的作用。

基础参数

-i <interface>

指定要监听的网络接口。如果你希望抓取所有接口的流量，可以使用 -i any。
复制代码
```
sudo tcpdump -i any
```
- any 表示抓取所有可用接口的流量。
- 示例：监控特定接口 eth0：
  复制代码
```
sudo tcpdump -i eth0
```
-c <count>

指定抓取的数据包数量，达到指定数量后自动停止抓取。
复制代码
```
sudo tcpdump -c 10
```
- 示例：只抓取 5 个数据包：
  复制代码
```
sudo tcpdump -i eth0 -c 5
```
-w <file>

将抓取到的数据包保存到指定文件中，通常为 .pcap 格式，便于后续分析。
复制代码
```
sudo tcpdump -i eth0 -w capture.pcap
```
- 示例：保存数据包到 capture.pcap 文件中：
  复制代码
```
sudo tcpdump -i eth0 -c 100 -w capture.pcap
```
-r <file>

从已保存的 .pcap 文件读取数据包并显示其内容。
复制代码
```
tcpdump -r capture.pcap
```
-v, -vv, -vvv

增加输出的详细程度。使用 -v 会提供更多的信息，-vv 和 -vvv 进一步增加输出的详细程度。
复制代码
```
sudo tcpdump -i eth0 -v
```
-n

禁止将 IP 地址解析为域名，直接显示 IP 地址，以减少 DNS 解析带来的延迟。
复制代码
```
sudo tcpdump -i eth0 -n
```
-nn

禁止将 IP 地址解析为域名和将端口解析为服务名，所有信息均以数字形式显示。
复制代码
```
sudo tcpdump -i eth0 -nn
```
-A

以 ASCII 格式显示数据包的内容，适合查看基于文本协议（如 HTTP）的流量。
复制代码
```
sudo tcpdump -i eth0 -A
```
-X

以十六进制和 ASCII 格式显示数据包的内容，适合深入分析数据包。
复制代码
```
sudo tcpdump -i eth0 -X
```
-s <snaplen>

指定抓取数据包的长度。默认长度为 68 字节，使用 -s 0 可以捕获完整数据包。
复制代码
```
sudo tcpdump -s 0
```
-S

显示绝对序列号，而不是相对序列号。这在分析 TCP 流量时非常有用，因为可以更清楚地看到数据流的绝对序列号。
复制代码
```
sudo tcpdump -i eth0 -S
```

高级过滤器

指定协议

过滤特定协议的数据包。
- 抓取 TCP 数据包 ：
  复制代码
```
sudo tcpdump -i eth0 tcp
```
- 抓取 UDP 数据包 ：
  复制代码
```
sudo tcpdump -i eth0 udp
```
指定端口

使用端口号过滤数据包。
- 抓取 HTTP 流量（80 端口）：
  复制代码
```
sudo tcpdump -i eth0 port 80
```
- 抓取多个端口（如 80 和 443）的数据包：
  复制代码
```
sudo tcpdump -i eth0 port 80 or port 443
```
指定 IP 地址

使用 host、src 或 dst 过滤基于 IP 地址的数据包。
- 抓取特定 IP 地址的数据包：
  复制代码
```
sudo tcpdump -i eth0 host 192.168.1.100
```
- 抓取源 IP 为 192.168.1.100 的数据包：
  复制代码
```
sudo tcpdump -i eth0 src 192.168.1.100
```
- 抓取目标 IP 为 192.168.1.100 的数据包：
  复制代码
```
sudo tcpdump -i eth0 dst 192.168.1.100
```
逻辑运算符

结合多个过滤条件使用 and、or、not 进行复杂过滤。
- 抓取 TCP 协议并且源 IP 为 192.168.1.100 的数据包：
  复制代码
```
sudo tcpdump -i eth0 tcp and src 192.168.1.100
```
- 抓取源 IP 不是 192.168.1.100 的数据包：
  复制代码
```
sudo tcpdump -i eth0 not src 192.168.1.100
```

抓取 HTTPS 流量

如果想抓取 HTTPS 流量（通常基于 TCP 443 端口），可以使用以下命令：

复制代码

sudo tcpdump -i eth0 port 443

注意：HTTPS 流量是加密的，无法直接查看内容。

示例

抓取所有接口的流量：
复制代码
```
sudo tcpdump -i any
```
抓取所有来自 192.168.1.100 的 TCP 数据包：
复制代码
```
sudo tcpdump -i eth0 tcp and src 192.168.1.100
```
抓取特定端口（如 80 和 443）的流量：
复制代码
```
sudo tcpdump -i eth0 port 80 or port 443
```
使用 tcpdump 实时分析 HTTP 请求：
复制代码
```
sudo tcpdump -i eth0 -A port 80
```

总结

tcpdump 是一个功能强大的网络抓包工具，提供了丰富的参数和选项，使得网络流量分析变得灵活高效。了解并熟练使用这些参数可以帮助你有效地抓包和分析网络流量，特别是在调试网络问题和性能瓶颈时。