tcpdump

tcpdump简介

tcpdump 是一个流行的命令行网络抓包工具，它允许用户捕获和分析网络流量。这个工具在 Unix 和类 Unix 操作系统中广泛使用，如 Linux 和 macOS。tcpdump 可以捕获经过网络接口的数据包，并提供有关这些数据包的详细信息，包括源和目的 IP 地址、端口号、协议类型、时间戳以及数据包的内容等。

语法

option

• -n：不把ip转化成域名，直接显示 ip，避免执行 DNS lookups 的过程，速度会快很多
• -nn：不把协议和端口号转化成名字，速度也会快很多
• -w：使用 -w参数后接一个以 .pcap 后缀命令的文件名，就可以将 tcpdump 抓到的数据保存到文件中

-- tcpdump icmp -w icmp.pcap

• -r：从文件读取数据

-- tcpdump -r icmp.pcap

• -v/-vv/-vvv：控制详细内容的输出
• -i：指定要过滤网卡的接口

-- tcpdump -i eth0 / -i any查看所有网卡

• -Q：选择是入方向还是出方向的数据包，可选项有：in, out, inout，也可以使用 --direction=[direction] 这种写法
• -c：捕获指定个数的包后退出

tcpdump输出解析

14:08:39.633984 IP 124.89.117.166.3458 > 172.16.0.168.443: Flags [S], seq 1033922614, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

1. 时分秒毫秒 --14:08:39.633984
2. 网络协议IP --IP
3. 源IP地址+端口号 --124.89.117.166.3458
4. 数据流向 -- >
5. 目的IP地址+端口号 -- 172.16.0.168.443
6. -- 172.16.0.168.443
7. 冒号 -- :
8. 数据包内容，包括Flags 标识符，seq 号，ack 号，win 窗口，数据长度 length -- Flags [S], seq 1033922614, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

Flags标识符

使用 tcpdump 抓包后，会遇到的 TCP 报文 Flags，有以下几种：

• [S] : SYN（开始连接）
• [P] : PSH（推送数据）
• [F] : FIN （结束连接）
• [R] : RST（重置连接）
• [.] : 没有 Flag （意思是除上面四种类型外的其他情况，有可能是 ACK 也有可能是 URG）