16tcpdump命令

TCPDUMP使用说明

tcpdump命令参数解释 (1)

Tcpdump使用案例说明： (2)

TCPDUMP出现“truncated-ip - 1215 bytes missing!”错误 (3)

TCPDUMP 命令中的-i参数用VLAN名称与接口编号有什么区别 (3)

TCPDUMP 命令中出现“pcap_loop: Error: Interface packet capture busy”错误信息？ (5)

tcpdump命令参数解释

TcpD ump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、o r、not等逻辑语句来帮助你去掉无用的信息。

数据过滤

不带任何参数的TcpDu mp将搜索系统中所有的网络接口，并显示它截获的所有数据，这些数据对我们不一定全都需要，而且数据太多不利于分析。所以，我们应当先想好需要哪些数据，Tc pDu mp提供以下参数供我们选择数据：

注：tcpdump命令只针对经过CPU处理的数据包进行捕获，一但在BIGIP中的

某个VIP采用的是performance L4的方式，数据包则由四层加层ASIC芯片处理而没

有流经CPU，无法捕获数据。解决该问题的方法是：选取该Virtual Server将type由

Performance Layer4临时改为Standard再来用TCPDUMP命令抓包，抓包以后，改

回到Performance Layer4。

Tcpdump使用案例说明：

举例1：对external接口主机139.212.96.2并且端口为1433的流量进行监控。

端口不指定tcp和udp，默认为同时对tcp和udp进行报文捕获。本命令不解析IP地

址/端口号为主机名/服务名称，同时显示报文十二进制和文本信息，报文最大为1500

字节。

f5-1:~# tcpdump -i external -nn -X -s 1600 port 1433 and

host 139.212.96.2

tcpdump: listening on external 21:48:41.295546 139.212.96.2.1201 > 10.75.9.44.1433: .

302192826:302192827(1) ac

k 558871968 win 64360 (DF) 0x0000 012c 0800 4500 0029 38cf 4000 7f06

c3b2 .,..E..)8.@.....

0x0010 8bd4 6002 0a4b 092c 04b1 0599 1203

18ba ..`..K.,........

0x0020 214f b5a0 5010 fb68 a926 0000

00 !O..P..h.&...

21:48:41.296015 10.75.9.44.1433 > 139.212.96.2.1201: . ack

1 win 64636 (DF)

0x0000 012c 0800 4500 0028 cb2d4000 7f06

3155 .,..E..(.-@...1U

0x0010 0a4b 092c 8bd4 6002 0599 04b1 214f

b5a0 .K.,..`.....!O..

0x0020 1203 18bb 5010 fc7c a812 0000 0000

0000 ....P..|........

0x0030 0000 .. 21:48:50.701130 139.212.96.2.1206 > 10.75.9.44.1433: .

304974934:304974935(1) ac

k 565108263 win 64882 (DF)

0x0000 012c 0800 4500 0029 38f7 4000 7f06

c38a .,..E..)8.@.....

0x0010 8bd4 6002 0a4b 092c 04b6 0599 122d

8c56 ..`..K.,.....-.V

0x0020 21ae de27 5010 fd72 0a6b 0000

00 !..'P..r.k...

21:48:50.702567 10.75.9.44.1433 > 139.212.96.2.1206: . ack

1 win 65267 (DF)

0x0000 012c 0800 4500 0028 d3a6 4000 7f06

28dc .,..E..(..@...(.

0x0010 0a4b 092c 8bd4 6002 0599 04b6 21ae

de27 .K.,..`.....!..'

0x0020 122d 8c57 5010 fef3 08ea 0000 0000 0000 .-

.WP...........

0x0030 0000 ..

举例2：对internal接口主机172.31.230.53和172.31.230.51之间端口8080的

流量进行分组捕获。本命令不解析IP地址/端口号为主机名/服务名称，报文最大为

1600字节，捕获信息以“/var/tmp/intdump”文件保存：

tcpdump -s 1600 -i internal -w /var/tmp/intdump host 172.31.230.53 and host

172.31.230.51 and port 8080

如果查看该捕获文件，请用tcpdump –r /var/tmp/intdump命令。也可以将捕获

的文件下载下来用Ethereal工具解包分析。

TCPDUMP出现“truncated-ip - 1215 bytes missing!”错误

在BIG-IP V9里面出现”Truncated-IP xxxx bytes missing”信息，一般来说并不是

网络上有丢包引起的，而是在执行TCPDUMP命令时没有加上–s0或-s1600参数

时，而数据包大小超过TCPDUMP缺省的抓包大小（如果不加-s0或-s1600参数，则

缺省的每个数据包只抓前面400byes），就会出现truncated-ip的情况。出现这种情

况，只需要重新输入tcpdump命令，加上-s0或-s1600即可。

TCPDUMP 命令中的-i参数用VLAN名称与接口编号有什么区别

（如external或internal）与接口编号（1.1或2.1）有什么区别？