tcpdump抓包不能實(shí)時(shí)顯示

是一個(gè)命令行實(shí)用工具，允許你抓取和分析經(jīng)過(guò)系統(tǒng)的流量數(shù)據(jù)包。它通常被用作于網(wǎng)絡(luò)故障分析工具以及安全工具。

創(chuàng)新互聯(lián)公司-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比景寧畬族自治網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式景寧畬族自治網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋景寧畬族自治地區(qū)。費(fèi)用合理售后完善，10余年實(shí)體公司更值得信賴(lài)。

并且支持多種選項(xiàng)和過(guò)濾規(guī)則，適用場(chǎng)景十分廣泛。

由于它是命令行工具，因此適用于在遠(yuǎn)程服務(wù)器或者沒(méi)有圖形界面的設(shè)備中收集數(shù)據(jù)包以便于事后分析。

它可以在后臺(tái)啟動(dòng)，也可以用 cron 等定時(shí)工具創(chuàng)建定時(shí)任務(wù)啟用它。

2. 安裝

tcpdump 支持多種 Linux 發(fā)行版，所以你的系統(tǒng)中很有可能已經(jīng)安裝了它。用下面的命令檢查一下是否已經(jīng)安裝了 tcpdump：

$ which tcpdump

/usr/sbin/tcpdump

1

2

1

2

如果還沒(méi)有安裝 tcpdump，你可以用軟件包管理器安裝它。 例如，在 CentOS 或者 Red Hat Enterprise 系統(tǒng)中，用如下命令安裝 tcpdump：

sudo yum install tcpdump

1

1

在ubuntu下安裝：

sudo apt-get install tcpdump

1

1

tcpdump 依賴(lài)于 libpcap，該庫(kù)文件用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包。如果該庫(kù)文件也沒(méi)有安裝，系統(tǒng)會(huì)根據(jù)依賴(lài)關(guān)系自動(dòng)安裝它。

安裝完成后就可以抓包了。

3. 抓包

使用 tcpdump 抓包，需要管理員權(quán)限，因此下面的示例中絕大多數(shù)命令都是以 sudo 開(kāi)頭。

首先，先用 tcpdump -D 命令列出可以抓包的網(wǎng)絡(luò)接口：

$ sudo tcpdump -D

1.eth0

2.virbr0

3.eth1

4.any (Pseudo-device that captures on all interfaces)

5.lo [Loopback]

1

2

3

4

5

6

1

2

3

4

5

6

如上所示，可以看到機(jī)器中所有可以抓包的網(wǎng)絡(luò)接口。其中特殊接口 any 可用于抓取所有活動(dòng)的網(wǎng)絡(luò)接口的數(shù)據(jù)包。

我們就用如下命令先對(duì) any 接口進(jìn)行抓包：

$ sudo tcpdump -i any

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

09:56:18.293641 IP rhel75.localdomain.ssh 192.168.64.1.56322: Flags [P.], seq 3770820720:3770820916, ack 3503648727, win 309, options [nop,nop,TS val 76577898 ecr 510770929], length 196

09:56:18.293794 IP 192.168.64.1.56322 rhel75.localdomain.ssh: Flags [.], ack 196, win 391, options [nop,nop,TS val 510771017 ecr 76577898], length 0

09:56:18.295058 IP rhel75.59883 gateway.domain: 2486+ PTR? 1.64.168.192.in-addr.arpa. (43)

09:56:18.310225 IP gateway.domain rhel75.59883: 2486 NXDomain* 0/1/0 (102)

09:56:18.312482 IP rhel75.49685 gateway.domain: 34242+ PTR? 28.64.168.192.in-addr.arpa. (44)

09:56:18.322425 IP gateway.domain rhel75.49685: 34242 NXDomain* 0/1/0 (103)

09:56:18.323164 IP rhel75.56631 gateway.domain: 29904+ PTR? 1.122.168.192.in-addr.arpa. (44)

09:56:18.323342 IP rhel75.localdomain.ssh 192.168.64.1.56322: Flags [P.], seq 196:584, ack 1, win 309, options [nop,nop,TS val 76577928 ecr 510771017], length 388

09:56:18.323563 IP 192.168.64.1.56322 rhel75.localdomain.ssh: Flags [.], ack 584, win 411, options [nop,nop,TS val 510771047 ecr 76577928], length 0

09:56:18.335569 IP gateway.domain rhel75.56631: 29904 NXDomain* 0/1/0 (103)

09:56:18.336429 IP rhel75.44007 gateway.domain: 61677+ PTR? 98.122.168.192.in-addr.arpa. (45)

09:56:18.336655 IP gateway.domain rhel75.44007: 61677* 1/0/0 PTR rhel75. (65)

09:56:18.337177 IP rhel75.localdomain.ssh 192.168.64.1.56322: Flags [P.], seq 584:1644, ack 1, win 309, options [nop,nop,TS val 76577942 ecr 510771047], length 1060

---- SKIPPING LONG OUTPUT -----

09:56:19.342939 IP 192.168.64.1.56322 rhel75.localdomain.ssh: Flags [.], ack 1752016, win 1444, options [nop,nop,TS val 510772067 ecr 76578948], length 0

^C

9003 packets captured

9010 packets received by filter

7 packets dropped by kernel

$

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

tcpdump 會(huì)持續(xù)抓包直到收到中斷信號(hào)。你可以按 Ctrl+C 來(lái)停止抓包。正如上面示例所示，tcpdump 抓取了超過(guò) 9000 個(gè)數(shù)據(jù)包。在這個(gè)示例中，由于我是通過(guò) ssh 連接到服務(wù)器，所以 tcpdump 也捕獲了所有這類(lèi)數(shù)據(jù)包。-c 選項(xiàng)可以用于限制 tcpdump 抓包的數(shù)量：

$ sudo tcpdump -i any -c 5

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

11:21:30.242740 IP rhel75.localdomain.ssh 192.168.64.1.56322: Flags [P.], seq 3772575680:3772575876, ack 3503651743, win 309, options [nop,nop,TS val 81689848 ecr 515883153], length 196

11:21:30.242906 IP 192.168.64.1.56322 rhel75.localdomain.ssh: Flags [.], ack 196, win 1443, options [nop,nop,TS val 515883235 ecr 81689848], length 0

11:21:30.244442 IP rhel75.43634 gateway.domain: 57680+ PTR? 1.64.168.192.in-addr.arpa. (43)

11:21:30.244829 IP gateway.domain rhel75.43634: 57680 NXDomain 0/0/0 (43)

11:21:30.247048 IP rhel75.33696 gateway.domain: 37429+ PTR? 28.64.168.192.in-addr.arpa. (44)

5 packets captured

12 packets received by filter

0 packets dropped by kernel

$

1

2

3

4

5

6

7

8

9

10

11

12

1

2

3

4

5

6

7

8

9

10

11

12

如上所示，tcpdump 在抓取 5 個(gè)數(shù)據(jù)包后自動(dòng)停止了抓包。這在有些場(chǎng)景中十分有用 —— 比如你只需要抓取少量的數(shù)據(jù)包用于分析。當(dāng)我們需要使用過(guò)濾規(guī)則抓取特定的數(shù)據(jù)包（如下所示）時(shí)，-c 的作用就十分突出了。

在上面示例中，tcpdump 默認(rèn)是將 IP 地址和端口號(hào)解析為對(duì)應(yīng)的接口名以及服務(wù)協(xié)議名稱(chēng)。而通常在網(wǎng)絡(luò)故障排查中，使用 IP 地址和端口號(hào)更便于分析問(wèn)題；用 -n 選項(xiàng)顯示 IP 地址，-nn 選項(xiàng)顯示端口號(hào)：

$ sudo tcpdump -i any -c5 -nn

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

23:56:24.292206 IP 192.168.64.28.22 192.168.64.1.35110: Flags [P.], seq 166198580:166198776, ack 2414541257, win 309, options [nop,nop,TS val 615664 ecr 540031155], length 196

23:56:24.292357 IP 192.168.64.1.35110 192.168.64.28.22: Flags [.], ack 196, win 1377, options [nop,nop,TS val 540031229 ecr 615664], length 0

23:56:24.292570 IP 192.168.64.28.22 192.168.64.1.35110: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 615664 ecr 540031229], length 372

23:56:24.292655 IP 192.168.64.1.35110 192.168.64.28.22: Flags [.], ack 568, win 1400, options [nop,nop,TS val 540031229 ecr 615664], length 0

23:56:24.292752 IP 192.168.64.28.22 192.168.64.1.35110: Flags [P.], seq 568:908, ack 1, win 309, options [nop,nop,TS val 615664 ecr 540031229], length 340

5 packets captured

6 packets received by filter

0 packets dropped by kernel

1

2

3

4

5

6

7

8

9

10

11

1

2

3

4

5

6

7

8

9

10

11

如上所示，抓取的數(shù)據(jù)包中顯示 IP 地址和端口號(hào)。這樣還可以阻止 tcpdump 發(fā)出 DNS 查找，有助于在網(wǎng)絡(luò)故障排查中減少數(shù)據(jù)流量。

現(xiàn)在你已經(jīng)會(huì)抓包了，讓我們來(lái)分析一下這些抓包輸出的含義吧。

僅供參考

在linux命令行環(huán)境下如何抓取網(wǎng)絡(luò)數(shù)據(jù)包？

? 眾所周知，在Windows下開(kāi)發(fā)運(yùn)行環(huán)境下，在調(diào)試網(wǎng)絡(luò)環(huán)境時(shí)，可以可以很方便的借助wireshark等軟件進(jìn)行抓包分析；并且在linux或者Ubuntu等桌面版里也可以進(jìn)行安裝抓包工具進(jìn)行抓包分析，但總有一些情況，無(wú)法直接運(yùn)用工具（比如一些沒(méi)有界面的linux環(huán)境系統(tǒng)中），則此時(shí)我們就需要使用到最簡(jiǎn)單的tcpdump命令進(jìn)行網(wǎng)絡(luò)抓包。

? 一般的，linux下抓包時(shí)，抓取特定的網(wǎng)絡(luò)數(shù)據(jù)包到當(dāng)前文件夾下的文件中，再把文件拷貝出來(lái)利用Windows下的wireshark軟件進(jìn)行分析。

tcpdump命令詳解：（簡(jiǎn)單舉例）

? 1、抓取到的文件為filename.cap，然后將此文件拷貝到Windows下，使用wireshar打開(kāi)后，即可對(duì)此文件進(jìn)行分析。

? 2、eth0 是主機(jī)的網(wǎng)絡(luò)適配器名稱(chēng)，具體的參數(shù)值可以在linux命令行窗口中通過(guò) ifconfig 指令查詢。

linux獲取當(dāng)前路徑

Linux查看當(dāng)前路徑命令：

pwd，比較簡(jiǎn)單，如果有時(shí)在操作過(guò)程中忘記了當(dāng)前路徑，可以通過(guò)此命令來(lái)查看路徑，執(zhí)行方式為：pwd /home/samlee

pwd為運(yùn)行的命令，/home/samlee為運(yùn)行pwd命令后顯示的信息，即顯示用戶當(dāng)前所在的工作目錄的路徑為/home/samlee。

我們應(yīng)該經(jīng)常使用pwd命令，因?yàn)長(zhǎng)inux的目錄結(jié)構(gòu)非常復(fù)雜，一個(gè)小小的分支就可能會(huì)有是十幾層目錄，Linux也不會(huì)像Windows那樣把全路徑寫(xiě)在提示符里。

Linux查看路徑的其他命令：

whereis，用來(lái)查看一個(gè)命令或者文件所在的絕對(duì)路徑，而which用來(lái)查看當(dāng)前要執(zhí)行的命令所在的路徑。

比如你的Linux系統(tǒng)中裝了很多個(gè)版本的java，如果你直接在命令行敲命令“java-version”，會(huì)得到一個(gè)結(jié)果，但是你知道在哪個(gè)路徑下執(zhí)行此命令嗎?可以用which命令：which

java。

得到的結(jié)果就是系統(tǒng)默認(rèn)執(zhí)行的java所在的路徑。如果使用whereis

java，那么你會(huì)得到很多結(jié)果，因?yàn)檫@個(gè)命令把所有包含java(不管是文件還是文件夾)的路徑都列出來(lái)了。