tcpdump用法

tcpdump用法
tcpdump是一个功能强大的网络分析工具，能够捕获网络上的数据包，用于网络故障排除、网络性能监控以及网络安全审计等目的。

它支持多种网络协议，支持文本输出和二进制输出。

本文将介绍tcpdump的使用方法，以及它的参数详解。

#### 一、基本用法
tcpdump的基本用法非常简单：
```
tcpdump [options]
```
它默认以单个模式运行，在一次持续抓包过程中，一直以标准输出格式显示网络数据包，每条信息显示一个数据包信息，直到用户中断或者网络停止发包为止。

#### 二、抓包参数
tcpdump参数繁多，但常用参数主要有以下几类：
**1.滤参数**
* -net据子网抓包，支持IPv4和IPv6，比如`-net
192.168.1.0/24`
* -host据网络主机抓包，支持IPv4和IPv6，比如`-host 192.168.1.1`
* -port据端口号抓包，比如`-port 80`
**2.示参数**
* -X示数据包的十六进制与ASCII文本，通常用于检测网络攻击和病毒
* -v示更详细的抓取信息，比如IP地址、端口号等
* -vv示更详细的抓取信息，同时把协议中的详细信息也显示出来
**3.能参数**
* -r 以二进制文件的方式读取已保存的抓包数据，一般用于进行离线分析
* -w 以二进制文件的方式将抓取的数据保存下来，方便以后分析
* -c定抓包的数量，比如`-c 1000`表示只抓前1000条数据包 #### 三、高级用法
tcpdump还支持一些高级参数，用于更加精确的抓包，主要有：
**1.络接口**
* -i定抓包的网络接口，比如`-i eth0`表示从eth0接口抓包 * -B定抓包的带宽，比如`-B 500K`表示最高抓取500K的数据 **2.滤表达式**
* -e取数据的过滤表达式，比如`-e tcp[14:2]==0x0514`表示过滤TCP标志和序号为0x0514的数据包
* -d取数据的过滤表达式，等效于-e参数
**3.符编码**
* -n取数据时，不解析DNS和hostname
* -t 不显示时间戳
* -S示源地址和目的地址
* -c定抓取数据包个数
* -q 以简单的形式显示，不显示协议头信息
####、实战
以抓取IP地址为192.168.1.1的80端口的HTTP请求为例，使用tcpdump命令如下：
```
tcpdump -i eth0 -nn -s 0 -XS host 192.168.1.1 and port 80
```
以上命令的含义为，从网卡eth0接口上抓取长度为0的数据包，目标地址为192.168.1.1，且端口号为80的数据包，并以十六进制与ASCII格式显示出来。

这只是tcpdump命令简单的使用说明，以上参数只是部分，tcpdump还有许多功能可以灵活使用，另外也有许多tcpdump参数也没有提到。

如果要进一步深入的学习tcpdump，建议可以阅读官方文档。

#### 五、总结
本文主要介绍了tcpdump的使用方法，以及它的各种参数，包
括过滤参数、显示参数和功能参数等，以及一些实战用法。

tcpdump 参数看似繁多，但通过多次使用、慢慢熟悉，想必会掌握得很好。