6张图表 + 1个案例 带你入门tcpdump的使用和原理

一、tcpdump简介

tcpdump是什么？

来看看 tcpdump官网怎么说：This is the home web site of tcpdump, a powerful command-line packet analyzer; and libpcap, a portable C/C++ library for network traffic capture.

不妨来看看chatGPT插件怎么说？

tcpdump是一种网络抓包工具，它能够捕获网络数据包并将其分析和显示出来。它支持多种协议，包括TCP、UDP、ICMP等，并能够根据不同的过滤条件进行数据包的筛选和分析。tcpdump是一个非常强大的工具，可以用于网络故障排除、网络安全分析等方面。

二、tcpdump使用入门

2.1 tcpdump命令使用

tcpdump的使用方法比较简单，也就是：

tcpdump [选项] [过滤表达式]

选项和表达式的外面都加了中括号，表明它们都是可选的。

tcpdump 提供了大量的选项以及各式各样的过滤表达式。不过只需要掌握一些常用选项和过滤表达式，就可以满足日常使用需要了。下面是一些最常见的用法：

2.2 tcpdump输出结果分析

tcpdump 的基本输出格式为：

时间戳 协议 源地址.源端口 > 目的地址.目的端口 网络包详细信息

“时间戳 协议 源地址.源端口 > 目的地址.目的端口”就是字面意思，一眼看懂。

网络包详细信息包括：

• Falgs：TCP的标志位信息
• seq：序列号，范围是0 - 2^32-1
• win：窗口大小
• options：选项

不知道你发现没有，这些信息和TCP报文头部的结构是一一对应呢？

输出结果中的Flags信息使用的是简写，补充一张Flags具体说明：

三、tcpdump抓包实战

本案例是使用tcpdump抓包TCP三次握手和四次挥手的过程。这个案例不需要苛刻复杂的实验环境，不需要云服务器，不需要虚拟机，只要有一台电脑，不管是Windows还是MacOS，只要配置了简单的开发环境，就可以进行实战了。

3.1 抓包过程

1.在本地启动一个Spring Boot工程，提供一个测试连接：http://localhost:8080/hello

2、打开一个控制台窗口（窗口1），开启tcpdump抓包，命令如下：

sudo tcpdump tcp -i lo0 port 8080 -S -nn -t

具体含义：过滤TCP协议，抓取回环包，过滤端口8080，绝对数值，不解析IP地址和端口号名称，不显示时间

3、再打开一个控制台窗口（窗口2），访问测试连接，命令如下：

curl 127.0.0.1:8080/hello

4、在窗口1中可以看到抓包的内容显示：

3.2 抓包分析

从上述抓包结果，可以清晰看到TCP建立连接、数据传输、断开连接的过程。

可以对照着回顾下“三次握手”、“四次挥手”的过程，相信一定会加深印象的。

四、tcpdump原理浅析

图片源自：tcpdump官网的文章libpcap: An Architecture and Optimization Methodology for Packet Capture

tcpdump 抓包其实是使用操作系统底层提供的 libpacp 机制和相关系统调用实现的。Pcap是计算机网络管理领域中一个用于捕获网络流量的应用程序接口（API）。tcpdump 的工作过程是：在收发包时，使用 libpcap 库来访问网络接口和解析数据包；将符合规则（通过BPF filter设置）的数据包拷贝一份到 tcpdump 的内核缓冲区，然后以 PACKET_MMAP 的方式将这部分内存映射到 tcpdump 用户空间，在用户空间进行解析和分析，就可以输出到终端或者保存到文件中了。

通过上图可以看到，在收包的时候，如果网络包已经被网卡丢弃了，那么 tcpdump 是抓不到它的；在发包的时候，如果网络包在协议栈里被丢弃了，比如因为发送缓冲区满而被丢弃，tcpdump 同样抓不到它。那么， tcpdump 的能力范围简单地总结为：网卡以内的问题可以交给 tcpdump 来处理；对于网卡以外（包括网卡上）的问题，tcpdump 就无能为力了。这个时候，需要在对端也使用 tcpdump 来抓包。

tcpdump是一款简单好用的命令行抓包工具，希望本文的分享对各位有用！