linux tcpdump 使用小结（二）

转载请注明出处：

TCPDump是一个功能强大的网络抓包工具，它能够在命令行界面捕获、分析和解析网络数据包。下面是TCPDump命令的使用总结，包括使用语法、常用参数说明等：

使用语法：tcpdump [options] [expression]

参数说明：

• -i <interface>：指定要监听的网络接口。

• -n：禁用主机名解析，只显示IP地址。

• -l：使输出行立即被缓冲并且刷新到标准输出，而不是按照缓冲区大小进行缓冲。

• -c <count>：设置捕获数据包的数量限制。

• -s <snaplen>：设置每个数据包的最大捕获长度。

• -w <filename>：将捕获的数据包写入文件。

• expression：可以是过滤器表达式，用于选择要捕获的数据包。

常见用法示例：

• tcpdump -i eth0：捕获并显示来自eth0接口的所有网络数据包。

• tcpdump -n -l -c 10：捕获并输出前10个数据包的IP地址（禁用主机名解析）。

• tcpdump -i any tcp port 80：捕获并显示所有通过任意接口的源或目的端口为80的TCP数据包。

一些常用过滤器表达式：

• host <ip>：捕获指定主机的数据包。

• net <network>：捕获指定网络的数据包。

• port <port>：捕获指定端口的数据包。

• src <ip>：捕获源IP地址为指定IP的数据包。

• dst <ip>：捕获目的IP地址为指定IP的数据包。

高级选项：

• -A：以ASCII形式显示捕获到的数据包内容。

• -X：以十六进制和ASCII组合形式显示捕获到的数据包内容。

• -vvv：显示更详细的输出信息，如协议解析和标志位。

使用示例：

tcpdump -n -l -i any  tcp  port 24009

响应示例：

这段抓包响应显示了网络流量捕获结果。下面是对每个捕获数据包的分析：

　　第一个数据包：

• 时间戳：13:30:46.092550

• 源IP地址和端口：192.168.118.11.62964

• 目标IP地址和端口：192.168.118.32.24009

• 标志（Flags）：[S]，表示这是一个建立连接的请求数据包

• 序列号（seq）：507702909

• 窗口大小（win）：64512

• 选项：mss 1460, nop, wscale 3, sackOK, TS val 775689058 ecr 0

• 长度：0

　　第二个数据包：

• 时间戳：13:30:46.092594

• 源IP地址和端口：192.168.118.32.24009

• 目标IP地址和端口：192.168.118.11.62964

• 标志（Flags）：[R.]，表示连接被重置（reset）

• 序列号（seq）：0

• 确认序列号（ack）：507702910

• 窗口大小（win）：0

• 长度：0

TCP协议中的标志（Flags）字段用于在数据包中传递特定的控制信息。

　　下面是常见的TCP标志及其说明：

• SYN (Synchronize)：用于建立连接的请求标志。当一个主机尝试与另一个主机建立连接时，它会发送一个带有SYN标志的数据包。

• ACK (Acknowledgment)：确认标志。表示收到了对方发送的数据包，并发送了确认响应。

• RST (Reset)：重置标志。用于终止连接或表示连接出现错误。当一方收到无效的、不可接受的数据包时，可以发送RST标志来告知对方重置连接。

• FIN (Finish)：结束标志。用于终止连接的请求。当发送方发送了所有数据后，会发送一个带有FIN标志的数据包，请求关闭连接。

• PSH (Push)：推送标志。指示接收方应该立即将数据交给应用层，而不是等待缓冲区填满或者等待其他条件。

• URG (Urgent)：紧急标志。表示数据包中有紧急数据需要优先处理。

这些标志可以单独使用或组合在一起，以便传递更多的控制信息。例如，一个数据包可以同时设置SYN和ACK标志，表示建立连接并进行确认。