tcpdump（dump the traffic on a network）是一款在Unix下一款比較實用的一款用于分析數(shù)據(jù)包的工具，它支持針對網(wǎng)絡(luò)層、協(xié)議、主機、網(wǎng)絡(luò)或端口的過濾，并提供and、or、not等邏輯語句、布爾表達式對報文的報頭匹配，在linux系統(tǒng)下如果未安裝可以通過yum來安裝，不過要注意的是在使用需要相應(yīng)的權(quán)限：

成都創(chuàng)新互聯(lián)公司為您提適合企業(yè)的網(wǎng)站設(shè)計?讓您的網(wǎng)站在搜索引擎具有高度排名，讓您的網(wǎng)站具備超強的網(wǎng)絡(luò)競爭力！結(jié)合企業(yè)自身，進行網(wǎng)站設(shè)計及把握，最后結(jié)合企業(yè)文化和具體宗旨等，才能創(chuàng)作出一份性化解決方案。從網(wǎng)站策劃到成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)， 我們的網(wǎng)頁設(shè)計師為您提供的解決方案。

對于SunOS 的nit或bpf界面: 要運行tcpdump , 必須有/dev/nit或/dev/bpf* 的讀訪問權(quán)限;
對于Solaris的dlpi: 必須有網(wǎng)絡(luò)仿真設(shè)備 (network pseudo device), 如 /dev/le的讀訪問權(quán)限;
對于HP-UX的dlpi、IRIX的snoop、Linux: 必須是root, 或者把它安裝成 root 的設(shè)置uid 程序;
對于 Ultrix和Digital UNIX: 一旦超級用戶使用promiscuous 操作模式 (promiscuous-mode), 任何用戶 都可以 運行 tcpdump;
對于BSD: 必須有/dev/bpf*的讀訪問權(quán)限。

而tcpdump的常用選項參數(shù)如下：

       -A     數(shù)據(jù)包內(nèi)容以ASCII顯示，通常用來抓取網(wǎng)頁的數(shù)據(jù)包數(shù)據(jù).
       -a     試著 把 網(wǎng)絡(luò)和廣播地址轉(zhuǎn)換成名稱.
       -c     監(jiān)聽數(shù)據(jù)包數(shù)，如果沒有帶這個參數(shù)tcpdump會不斷的監(jiān)聽，當(dāng)收到count報文后退出.
       -d     把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成可閱讀的格式，并傾倒到標(biāo)準(zhǔn)輸出.
       -dd    把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成C語言的格式，并傾倒到標(biāo)準(zhǔn)輸出.
       -ddd   把編譯過的數(shù)據(jù)包編碼轉(zhuǎn)換成十進制數(shù)字的格式，并傾倒到標(biāo)準(zhǔn)輸出.
       -e     顯示數(shù)據(jù)鏈路層的數(shù)據(jù)包.
       -f     用數(shù)字顯示網(wǎng)際網(wǎng)絡(luò)地址.
       -F     指定內(nèi)含表達方式的文件.
       -i     監(jiān)聽的網(wǎng)絡(luò)接口.
       -l     使用標(biāo)準(zhǔn)輸出列的緩沖區(qū).
       -n     不把主機的網(wǎng)絡(luò)地址轉(zhuǎn)換成ip
       -N     不列出域名.
       -O     不將數(shù)據(jù)包編碼最佳化，這個選項只有當(dāng)你懷疑優(yōu)化器有bug時才有用.
       -p     不讓網(wǎng)絡(luò)界面進入混雜模式.
       -q     快速輸出，僅列出少數(shù)的傳輸協(xié)議信息.
       -r     從指定的文件讀取數(shù)據(jù)包數(shù)據(jù).
       -s     設(shè)置每個數(shù)據(jù)包的大小.
       -T     強制將表達方式所指定的數(shù)據(jù)包轉(zhuǎn)譯成設(shè)置的數(shù)據(jù)包類型.目前已知的類型有: rpc (遠程過程調(diào)用 Remote Procedure Call), rtp
              (實時應(yīng)用協(xié)議 Real-Time Applications protocol), rtcp (實時應(yīng)用控制協(xié)議 Real-Time Applications control  protocol),  vat  (可視音頻工具
              Visual Audio Tool), 和 wb (分布式白板 distributed White Board).
       -S     用絕對而非相對數(shù)值列出TCP關(guān)聯(lián)數(shù).
       -t     禁止顯示時戳標(biāo)志.
       -tt    顯示未格式化的時戳標(biāo)志.
       -v     詳細顯示指令執(zhí)行過程. 例如, 顯示IP數(shù)據(jù)報中的生存周期和服務(wù)類型.
       -vv    更詳細顯示指令執(zhí)行過程. 例如,顯示NFS應(yīng)答報文的附加域.
       -w     把數(shù)據(jù)包數(shù)據(jù)寫入指定的文件.
       -x     以 16進制數(shù)形式顯示每一個報文(去掉鏈路層報頭后).可以顯示較小的完整報文,否則只顯示snaplen個字節(jié).
       expression表達式：
              用來選擇要轉(zhuǎn)儲的數(shù)據(jù)報.如果沒有指定expression , 就轉(zhuǎn)儲網(wǎng)絡(luò)的全部報文.否則, 只轉(zhuǎn)儲相對expression為邏輯為真的數(shù)據(jù)包報文.
 
              expression 由一個或多個原語(primitive)組成.原語通常由一個標(biāo)識(id,名稱或數(shù)字),和標(biāo)識前面的一個或多個修飾子(qualifier)組成.修飾子有三種不同的類型:
 
              type   類型修飾子指出標(biāo)識名稱或標(biāo)識數(shù)字代表什么類型的東西.可以使用的類型有host,net和port.例如,`host foo', `net128.3', `port 20'.如果不指定類型修飾子, 就使用缺省的host . 
              dir    方向修飾子 指出 相對于 標(biāo)識 的 傳輸方向 (數(shù)據(jù)是 傳入還是傳出 標(biāo)識).  可以使用的 方向 有 src, dst, src or dst 和 src  and  dst.
                     例如, `src foo', `dst net 128.3', `src or dst port ftp-data'.  如果 不指定 方向修飾子, 就使用 缺省的 src or dst .  對于 `null'
                     鏈路層 (就是說 象 slip 之類的 點到點 協(xié)議), 用 inbound 和 outbound 修飾子 指定 所需的 傳輸方向. 
              proto  協(xié)議修飾子 要求 匹配 指定的協(xié)議. 可以使用的 協(xié)議 有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp  和  udp.
                     例如, `ether src foo', `arp net 128.3', `tcp port 21'.  如果 不指定 協(xié)議修飾子, 就使用 所有 符合 類型 的 協(xié)議. 例如, `src foo'
                     指 `(ip 或 arp 或 rarp) src foo' (注意后者不符合語法), `net bar' 指 `(ip 或 arp 或 rarp) net bar',  `port 53' 指 `(tcp 或 udp)
                     port 53'. 
              更復(fù)雜的過濾器表達式可以通過 and, or 和 not 連接原語來組建. 例如, `host  foo  and  not  port  ftp  and  not  port  ftp-data'.
              允許的 原語 有:
              dst host host
                     如果報文中IP的目的地址域是host, 則邏輯為真.host既可以是地址,也可以是主機名.
 
              src host host
                     如果報文中IP的源地址域是host,則邏輯為真.
 
              host host
                     如果報文中IP的源地址域或者目的地址域是host,則邏輯為真.上面所有的host表達式都可以加上ip,arp,或rarp關(guān)鍵字做前綴,就象:ip host host
                     它等價于:
                          ether proto \ip and host host
                     如果host是擁有多個IP地址的主機名,它的每個地址都會被查驗.
 
              ether dst ehost
                     如果報文的以太目的地址是ehost,則邏輯為真. Ehost既可以是名字 (/etc/ethers 里有), 也可以是數(shù)字
 
              ether src ehost
                     如果報文的以太源地址是ehost,則邏輯為真.
 
              ether host ehost
                     如果報文的以太源地址或以太目的地址是ehost,則邏輯為真.
 
              gateway host
                     如果報文把host當(dāng)做網(wǎng)關(guān), 則邏輯為真.
                     
              dst net net
                     如果報文的IP目的地址屬于網(wǎng)絡(luò)號net,則邏輯為真. 
 
              src net net
                     如果報文的IP源地址屬于網(wǎng)絡(luò)號net,則邏輯為真.
 
              net net
                     如果報文的IP源地址或目的地址屬于網(wǎng)絡(luò)號net, 則邏輯為真.
 
              net net mask mask
                     如果IP地址匹配指定網(wǎng)絡(luò)掩碼(netmask)的net,則邏輯為真.本原語可以用src或dst修飾.
 
              net net/len
                     如果IP地址匹配指定網(wǎng)絡(luò)掩碼的net, 則邏輯為真.
 
              dst port port
                     如果報文是ip/tcp或ip/udp, 并且目的端口是port, 則邏輯為真.
 
              src port port
                     如果報文的源端口號是port,則邏輯為真.
 
              port port
                     如果報文的源端口或目的端口是port,則邏輯為真.
 
              less length
                     如果報文的長度小于等于length,則邏輯為真. 它等同于:len <= length.
 
              greater length
                     如果報文的長度大于等于length,則邏輯為真. 它等同于:len >= length.
 
              ip proto protocol
                     如果報文是IP數(shù)據(jù)報, 其內(nèi)容的協(xié)議類型是protocol,則邏輯為真.
 
              ether broadcast
                     如果報文是以太廣播報文,則邏輯為真.關(guān)鍵字ether是可選的.
 
              ip broadcast
                     如果報文是IP廣播報文,則邏輯為真.Tcpdump檢查全0和全1廣播約定,并且檢查本地的子網(wǎng)掩碼.
 
              ether multicast
                     如果報文是以太多目傳送報文(multicast),則邏輯為真. 關(guān)鍵字ether是可選的.
 
              ip multicast
                     如果報文是IP多目傳送報文,則邏輯為真.

總之tcpdump的使用還是可以滿足日常的數(shù)據(jù)包分析使用的，如下以下一些例子：

監(jiān)聽來自eth0網(wǎng)卡且通信協(xié)議為ssh（缺省22端口）來源于192.168.2.100的數(shù)據(jù)包數(shù)據(jù)

[root@localhost ~]# tcpdump -i eth0 -nn 'port 22 and src host 192.168.2.100'

截獲主機192.168.1.100和主機192.168.2.100或192.168.0.100的通信

[root@localhost ~]# tcpdump host 192.168.1.100 and \(192.168.1.100 or 192.168.0.100\)

截取本機的udp協(xié)議的ntp（缺省123端口）

[root@localhost ~]# tcpdump udp port 123

總之，在日常可以使用tcpdump來對各種數(shù)據(jù)包進行分析，在這里就不做過多的說明，需要更多tcpdump的使用可以看相關(guān)的man幫助手冊，當(dāng)然是用tcpdump對七層上數(shù)據(jù)沒有做比較徹底的解碼，所以平時也可把抓取的數(shù)據(jù)包寫入文件后使用wireshark來進行進一步的分析

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站欄目：抓包分析工具—tcpdump-創(chuàng)新互聯(lián)
新聞來源：http://weahome.cn/article/ihdij.html