运维系列：tcpdump命令详解

tcpdump命令详解

• 1 概述
• 2 命令格式
• 3 常见协议输出格式
• 4 常用的选项和对应参数
• • • 选项不带参数可以写在一起，如-nev
    • 我们使用tcpdump结合它的参数，目的是为了显示结果符合定位数据流的格式，快速找出符合我们需求的包，方便我们分析找到问题。
• 5 表达式
• • • 当输出到屏幕上时，不过滤会有大量包不停刷新，很难看清某一个消息，这时就需要用表达式进行捕获时过滤，过滤出自己需要的特定包。
  • 5.1 根据偏移量预过滤
• 6 使用方法执行结果范例
• • 6.1 Tcpdump -D显示对应的系统的网口，用于-i后面指定网络接口用
  • 6.2 -i 网口编号数字或者网口别名 ，指定抓包的端口号和名称进行抓包
  • 6.3 -i any是抓取所有接口接口的消息（这样用-any时，抓包里看不到目的mac地址）
  • 6.4 -c用于指定抓包的包数，到达指定包数后自动停止抓包，不用ctrl+c来停止。
  • 6.5 -n 关闭ip地址反查域名
  • 6.6 -nn取消反向dns的过程，立即打印抓包，并用数字显示ip端口之类
  • 6.7 -tt；-ttt；-tttt的用法
  • 6.8 -e 用来显示源，目标ip的mac地址
  • 6.9 -w写文件，参数是路径和文件名，不写路径默认是系统默认路径
  • 6.10 嵌入式系统一般都有tcpdump命，抓到的抓包文件可用通过tftp命令发出
  • 6.11 -v的用法详解
  • 6.12 -x，-xx ，-X，-XX的用法
  • 6.13 -r 查看抓包文件，-r后面跟文件名
• 7 复杂的过滤条件表达式范例
• • • • • Arp请求消息中偏移量为14开始的4个字节是arp请求消息的源ip，arp应答消息偏移量为24开始的4个字节是arp响应reply的目的ip，这条语句就是抓arp查询过程和icmp消息，ip地址是18.250.0.25的消息过程。
        • 过滤rtp流用用udp[8:1]=0x80
• 8 Tcpdump执行时的常见错误提示
• • • 8.1 -w写文件后文件大小为0，系磁盘占满所致，改在其他目录下保存就ok了
    • 8.2 抓包写文件发现文件大小只有24byte
    • 8.3 表达式的语法没有错误，但没有交集没有符合条件的包
  • 8.4 根据偏移量和个数过滤出错
  • • 8.5 syntax error near unexpected token `('
    • 8.6 语法错误
• 9 解决问题实例
• • 9.1 范例回程路由的问题确定：
  • • time out的可能原因：
    • 处理思路：
    • 范例2，路由器的dnat是否成功问题判断
  • 9.2 dnat是否成功判断
  • • 问题：配置完成后，内网发包，路由从pppoe的219.145.1.248发出访问61.185.217.203的3009端口发现不通，排查可能原因？组网流程如下图：
    • 解决思路：
    • 处理过程：

---

1 概述

Tcpdump是linux环境下抓包工具，可以对对应网络接口流量进行抓取或者过滤抓取，可以打印输出到屏幕，也可以保存到指定文件。指定的文件可以用wireshark来打开查看。可以快速查看符合网络接口符合某一条件的抓包，方便我们确定网络问题。

2 命令格式

可以在linux系统环境下输入man tcpdump回车来查看它的帮助说明。如下图：

其命令格式是: tcpdump 跟踪范围 选项和对应参数 表达式

如

 tcpdump   -i  eth0  -nne icmp

tcpdump