每次服务器网络不通的时候，总会听到一个声音，你去抓包啊，那这里就来介绍下TCPDump，一款强大的网络分析工具，可以捕获网络上的数据包，并进行分析。这款工具在网络管理员和安全专家中非常受欢迎。

一、安装 TCPDump

在大多数 Linux 发行版中，TCPDump 已经预装在系统中。如果你的系统中没有安装，可以使用包管理器进行安装。

对于基于 Debian 的系统（如 Ubuntu），可以使用以下命令安装：

apt-get update
apt-get install tcpdump

对于基于 RPM 的系统（如 CentOS），可以使用以下命令安装：

yum update
yum install tcpdump

二、基本用法

要开始捕获数据包，只需在终端中输入 tcpdump 命令。不过，如果不加任何参数，TCPDump 会捕获所有接口上的所有数据包，这通常会产生大量的输出。因此，通常我们会使用一些参数来限制捕获的数据。

1、指定网络接口

使用 -i 参数来指定一个网络接口：

[root@localhost ~]# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:10:58.590695 IP 10.115.0.110.pipe_server > 255.255.255.255.servserv: UDP, length 369
20:10:58.590869 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 66:96:66:66:66:66 (oui Unknown), length 548
20:10:58.598864 IP 10.115.0.110.pipe_server > 255.255.255.255.servserv: UDP, length 409

这个命令会捕获在 eth1 接口上的所有数据包。

2、解析

第一个数据包：

时间戳：20:10:58.590695
源 IP 地址和端口：10.115.0.110.pipe_server
目的 IP 地址和端口：255.255.255.255.servserv
协议：UDP
数据长度：369 字节
解析：这是一个 UDP 数据包，从 IP 地址 10.115.0.110 发送到广播地址 255.255.255.255。源端口被解析为 pipe_server，目的端口被解析为 servserv。这可能是一个服务发现或配置广播。
第二个数据包：

时间戳：20:10:58.590869
源 IP 地址和端口：0.0.0.0.bootpc
目的 IP 地址和端口：255.255.255.255.bootps
协议：BOOTP/DHCP
请求：来自 MAC 地址 66:96:66:66:66

3、捕获特定数量的数据包

使用 -c 参数来指定要捕获的数据包数量：

tcpdump -c 10 -i eth0

这个命令会捕获在 eth0 接口上的前10个数据包。

4、使用过滤器

TCPDump 允许使用过滤器来限制捕获的数据包。可以只捕获特定端口的数据包 port 9999 ：

-nn：这个选项告诉 TCPDump 不要解析主机名（第一个 n）和端口名（第二个 n）。也就是说，它会显示 IP 地址和端口号，而不是尝试将它们解析为主机名和服务名。这可以减少查找和显示时间，特别是在 DNS 响应慢或不可用时。

-v：这个选项增加了输出的详细程度。它会显示更多的包头信息，例如在 IP 层，它会显示服务类型（TOS）、总长度和标识等信息。

-e：这个选项告诉 TCPDump 在输出的每一行中包含数据链路层的头部信息，例如源 MAC 地址和目的 MAC 地址

[root@localhost ~]# tcpdump -nnve -i eth1 -c 1 port 9999
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
20:16:13.153123 fe:fc:fe:5e:fd:0c > 9c:3a:9a:af:53:d9, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 34804, offset 0, flags [DF], proto TCP (6), length 60)10.115.20.110.35838 > 93.205.23.98.9999: Flags [S], cksum 0x943e (incorrect -> 0x861d), seq 3473184019, win 29200, options [mss 1460,sackOK,TS val 2444563175 ecr 0,nop,wscale 7], length 0
1 packet captured
2 packets received by filter
0 packets dropped by kernel

这个数据包是一个 TCP 连接请求，从源主机 10.115.20.110 的端口 35838 发送到目的主机 93.205.23.98 的端口 9999。由于这是一个 SYN 包，它是 TCP 三次握手过程中的第一步，用于建立两个主机之间的连接。

过滤器的其他用法：

ip：只捕获 IP 数据包。
arp：只捕获 ARP 请求和响应。
icmp：只捕获 ICMP 数据包

src：只捕获来自指定源的数据包。
dst：只捕获发送到指定目的地的数据包。
src or dst：捕获来自指定源或发送到指定目的地的数据包。
src and dst：捕获同时满足指定源和目的地的数据包

5、保存和读取捕获的数据包

这个很重要，抓到包之后，可以把这个保存下来，扔给开发脸上，来你要的包,，最最重要的是保存下来之后，可以下载到本地，用wirshark来分析
使用 -w 参数来保存捕获的数据包到一个文件中：

tcpdump -w packets.pcap -i eth1 -c 50

6、高级用法

捕获特定类型的数据包可以指定协议来捕获特定类型的数据包，例如 ICMP、TCP 或 UDP：

tcpdump icmp -i eth0
tcpdump tcp -i eth0
tcpdump udp -i eth0

当然也可以组合过滤器，使用 and、or 和 not 来组合过滤器，例如：

tcpdump -i any 'tcp src port 80 and src host 192.168.1.1'

捕获源 IP 为 192.168.1.1 且端口为 80 的 TCP 数据包。

7、使用 VLAN 过滤器

如果你的网络使用了 VLAN，你可以使用 vlan 关键字来捕获特定 VLAN 的数据包：

tcpdump -i eth0 vlan 100

这个命令会捕获在 eth0 接口上所有 VLAN ID 为 100 的数据包。

三、后言

TCPDump 是一个非常强大的工具，教程只是介绍了它的一些基本用法。要充分利用这个工具，需要对网络协议有深入的了解，并且熟悉 TCPDump 的高级过滤器语法，才能够更有效地使用 TCPDump 来监控和分析你的网络。