安装

yum install tcpdump

apt install tcpdump

介绍

tcpdump dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

 

常用的命令选项有：

-c：设定抓取的包数量

-B：包大小

-i：指定监听的网口

-w：将抓取的数据包保存到文件

-s：截取报文的内容，默认截取96字节，-s0表示截取全部

-r：读取数据包内容

-C 10：每10M保存一个包

-G 600：每10分钟保存一个包

过滤的参数规则：

host：指定主机名

net：指定网段

      例1抓取192.168.10.0~192.168.10.24：net 192.168.10.0/24， 

      例2抓取192.168.10.0~192.168.10.255： net 192.168.10

port：指定端口，例抓取8080和8081端口：port 8080 or port 8081

portrange：指定端口范围

连接运算符：

and：所有的条件都满足

or：只要满足一个条件

not：取反，也可以用！

实例

tcpdump -i eth0                                                                           >>抓取eth0口的双向数据包

tcpdump -i eth0 host 122.224.241.154                                        >>抓取eth0接口， 122.224.241.154收发的包

tcpdump -i eth0 host 30.30.30.30 and 40.40.40.40                      >>抓取30.30.30.30和40.40.40.40收发的包

tcpdump -i eth0 src host 30.30.30.3                                             >>监视所有30.30.30.3发出的数据包

tcpdump -i eth0 host 122.224.241.154 and tcp port 80 -c 10     >>抓取122.224.241.154发送和接收的80端口的10个包

tcpdump -i eth0 net 10.109.130.0/24                                           >>抓取网络地址是10.109.130.0/24的发送和接收的数据包

tcpdump –i eth0 host 192.168.102.156 and icmp –c 10               >>抓取192.168.102.156的ping包10个

tcpdump -i eth0 dst host 192.168.107.216 and esp -nn               >>抓取发送到192.168.107.216的ESP数据包

tcpdump -i eth0 port 80 and host www.hao123.com or www.baidu.com     >>抓取发送到主机hao123或者百度的80端口的包

tcpdump -i eth0 host 192.168.107.216 -s 0 -c 20 –nnv -w /root/1.cap         >>抓取主机192.168.107.216发送或者接收的ICMP数据包详细信息，数量是20个，并保存到root下，文件名是1.cap

tcpdump -r /root/1.cap                                                                                  >>读取1.cap包内容

 

 

VLAN和QINQ环境下抓包：

vlan环境

tcpdump -i eth0 vlan and udp port 1812 or 1813 or 1645 or 1646 -s0 -w /icg/data/radius.pcap

QINQ环境

tcpdump -i eth0 vlan and vlan and udp port 1812 or 1813 or 1645 or 1646 -s0 -w /icg/data/radius.pcap

注：由于vlan环境上行流量带vlan标签，而下行不带，此时抓包不带vlan参 数，可能只能抓到下行流量。