tcpdump 常规参数介绍

Tcpdump用简单的语言概括就是dump the traffic on a network，是linux环境下抓包工具，可以将网络中传输的数据包的“包头”全部捕获过来进程分析，其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤，并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕，也可以保存到指定文

芝麻馅汤圆儿

3256人浏览 · 2023-11-22 18:09:59

芝麻馅汤圆儿 · 2023-11-22 18:09:59 发布

随笔记录

1. Tcpdump 介绍

Tcpdump 用简单的语言概括就是dump the traffic on a network，是linux环境下抓包工具，可以将网络中传输的数据包的“包头”全部捕获过来进程分析，其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤，并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。也可以对对应网络接口流量进行抓取或者过滤抓取并打印输出到屏幕，也可以保存到指定文件。指定的文件可以用wireshark来打开查看。方便我们确定网络问题

2. 使用参数介绍

2.1 常用参数

tcpdump -i <网口名> -nnSxx host <抓取网络包中 src_ip or dst_ip> and 'len == <数据包长度>'

# UDP报单抓包命令
# tcpdump -i <网口名> -nnSxx host <抓取网络包中 src_ip or dst_ip> and 'len == <数据包长度>'


# 以下抓取 网络包中 src_ip 或者 dst_ip 是 192.168.28.104,且包长度为 114 的网络数据包

[root@bogon ~]# tcpdump -i enp3s0 -nnSxx host 192.168.28.104 and 'len ==114'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:12:44.235428 IP 192.168.28.104.48008 > 118.190.175.212.40602: UDP, length 72
	0x0000:  3cc7 864c 35ae 047c 1655 02e8 0800 4500
	0x0010:  0064 81ae 4000 4011 b537 c0a8 1c68 76be
	0x0020:  afd4 bb88 9e9a 0050 0000 4800 0100 0004
	0x0030:  0000 18ae 9a50 0900 0000 0e00 0000 0101
	0x0040:  0100 6666 6666 664c a540 0100 0000 0500
	0x0050:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0060:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0070:  0000
16:13:44.223600 IP 192.168.28.104.58008 > 118.190.175.212.40602: UDP, length 72
	0x0000:  3cc7 864c 35ae 047c 1655 02e8 0800 4500
	0x0010:  0064 81ae 4000 4011 b537 c0a8 1c68 76be
	0x0020:  afd4 e298 9e9a 0050 0000 4800 0100 0004
	0x0030:  0000 18ae 9a50 0900 0000 0e00 0000 0101
	0x0040:  0100 6666 6666 664c a540 0100 0000 0600
	0x0050:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0060:  0000 0000 0000 0000 0000 0000 0000 0000
	0x0070:  0000

2.2 参数介绍

# 常规参数介绍：

 -A 以ASCII格式打印出所有分组，并将链路层的头最小化。

-c 在收到指定的数量的分组后，tcpdump就会停止。

-C 在将一个原始分组写入文件之前，检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小，则关闭当前文件，然后在打开一个新的文件。参数 file_size 的单位是兆字节（是1,000,000字节，而不是1,048,576字节）。

-d 将匹配信息包的代码以人们能够理解的汇编格式给出。

-dd 将匹配信息包的代码以c语言程序段的格式给出。

-ddd 将匹配信息包的代码以十进制的形式给出。

-D 打印出系统中所有可以用tcpdump截包的网络接口。

-e 在输出行打印出数据链路层的头部信息。

-E 用spi@ipaddr algo:secret解密那些以addr作为地址，并且包含了安全参数索引值spi的IPsec ESP分组。

-f 将外部的Internet地址以数字的形式打印出来。

-F 从指定的文件中读取表达式，忽略命令行中给出的表达式。

-i 指定监听的网络接口。

-l 使标准输出变为缓冲行形式，可以把数据导出到文件。

-L 列出网络接口的已知数据链路。

-m 从文件module中导入SMI MIB模块定义。该参数可以被使用多次，以导入多个MIB模块。

-M 如果tcp报文中存在TCP-MD5选项，则需要用secret作为共享的验证码用于验证TCP-MD5选选项摘要（详情可参考RFC 2385）。

-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。

-n 不把网络地址转换成名字。

-nn 不进行端口名称的转换。

-N 不输出主机名中的域名部分。例如，‘nic.ddn.mil‘只输出’nic‘。

-t 在输出的每一行不打印时间戳。

-O 不运行分组分组匹配（packet-matching）代码优化程序。

-P 不将网络接口设置成混杂模式。

-q 快速输出。只输出较少的协议信息。

-r 从指定的文件中读取包(这些包一般通过-w选项产生)。

-S 将tcp的序列号以绝对值形式输出，而不是相对值。

-s 从每个分组中读取最开始的snaplen个字节，而不是默认的68个字节。

-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc远程过程调用）和snmp（简单网络管理协议；）。

-t 不在每一行中输出时间戳。

-tt 在每一行中输出非格式化的时间戳。

-ttt 输出本行和前面一行之间的时间差。

-tttt 在每一行中输出由date处理的默认格式的时间戳。

-u 输出未解码的NFS句柄。

-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

-vv 输出详细的报文信息。

-w 直接将分组写入文件中，而不是不分析并打印出来。

tcpdump -i <网口名> -w <抓取包写入文件名>.pcap


# tcpdump -i <网口名：enp3s0> -w <抓取包写入文件名：order_changesrcip_sc.pcap>

[root@bogon multi_route]# tcpdump -i enp3s0 -w order_changesrcip_sc.pcap
tcpdump: listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C30844422 packets captured
30844427 packets received by filter
0 packets dropped by kernel

# tcpdump -r tx-B8-0.pcap

# 读取由 -w 产生的pcap包
# tcpdump -r <FIleName>.pcap


root@localhost test]# tcpdump -r tx-B8-0.pcap 
reading from file BC2CardV3/pcap_files/tx-B8-0.pcap, link-type EN10MB (Ethernet)
dropped privs to tcpdump
14:09:00.602332 06:07:08:09:0a:0b (oui Unknown) > 00:01:02:03:04:05 (oui Unknown), ethertype Unknown (0x0c0d), length 2046: 
	0x0000:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0010:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0020:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0030:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0040:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0050:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0060:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0070:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0080:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0090:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x00a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x00b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x00c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x00d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x00e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x00f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0100:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0110:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0120:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0130:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0140:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0150:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0160:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0170:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0180:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0190:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x01a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x01b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x01c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x01d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x01e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x01f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0200:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0210:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0220:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0230:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0240:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0250:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0260:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0270:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0280:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0290:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x02a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x02b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x02c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x02d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x02e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x02f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0300:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0310:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0320:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0330:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0340:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0350:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0360:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0370:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0380:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0390:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x03a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x03b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x03c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x03d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x03e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x03f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0400:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0410:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0420:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0430:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0440:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0450:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0460:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0470:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0480:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0490:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x04a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x04b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x04c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x04d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x04e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x04f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0500:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0510:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0520:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0530:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0540:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0550:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0560:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0570:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0580:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0590:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x05a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x05b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x05c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x05d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x05e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x05f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0600:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0610:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0620:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0630:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0640:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0650:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0660:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0670:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0680:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0690:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x06a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x06b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x06c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x06d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x06e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
	0x06f0:  feff 0001 0203 0405 0607 0809 0a0b 0c0d  ................
	0x0700:  0e0f 1011 1213 1415 1617 1819 1a1b 1c1d  ................
	0x0710:  1e1f 2021 2223 2425 2627 2829 2a2b 2c2d  ...!"#$%&'()*+,-
	0x0720:  2e2f 3031 3233 3435 3637 3839 3a3b 3c3d  ./0123456789:;<=
	0x0730:  3e3f 4041 4243 4445 4647 4849 4a4b 4c4d  >?@ABCDEFGHIJKLM
	0x0740:  4e4f 5051 5253 5455 5657 5859 5a5b 5c5d  NOPQRSTUVWXYZ[\]
	0x0750:  5e5f 6061 6263 6465 6667 6869 6a6b 6c6d  ^_`abcdefghijklm
	0x0760:  6e6f 7071 7273 7475 7677 7879 7a7b 7c7d  nopqrstuvwxyz{|}
	0x0770:  7e7f 8081 8283 8485 8687 8889 8a8b 8c8d  ~...............
	0x0780:  8e8f 9091 9293 9495 9697 9899 9a9b 9c9d  ................
	0x0790:  9e9f a0a1 a2a3 a4a5 a6a7 a8a9 aaab acad  ................
	0x07a0:  aeaf b0b1 b2b3 b4b5 b6b7 b8b9 babb bcbd  ................
	0x07b0:  bebf c0c1 c2c3 c4c5 c6c7 c8c9 cacb cccd  ................
	0x07c0:  cecf d0d1 d2d3 d4d5 d6d7 d8d9 dadb dcdd  ................
	0x07d0:  dedf e0e1 e2e3 e4e5 e6e7 e8e9 eaeb eced  ................
	0x07e0:  eeef f0f1 f2f3 f4f5 f6f7 f8f9 fafb fcfd  ................
[root@localhost test]#

3. tcpdump 应用

3.1 查看pcap报文中mac 地址

# 查看pcap 报文中源mac /目的mac 地址

# tcpdump -nn -e -r < XXX.pcap>  |awk '{print $2,$3,$4}'

[root@localhost testData]# tcpdump -nn -e -r /home/magx/testData/mix.pcap |awk '{print $2,$3,$4}'
reading from file /home/magx/testData/mix.pcap, link-type EN10MB (Ethernet)
44:22:7c:93:71:a1 > 01:80:c2:00:00:0e,
44:22:7c:93:71:a1 > 01:80:c2:00:00:0e,
44:22:7c:93:71:a1 > 01:80:c2:00:00:0e,
44:22:7c:93:71:a1 > 01:80:c2:00:00:0e,   # 目的mac:01:80:c2:00:00:0e
ba:f4:84:82:a9:49 > ff:ff:ff:ff:ff:ff,
8c:1f:64:c3:a3:2e > 8c:1f:64:c3:a3:66,   # 源mac:8c:1f:64:c3:a3:2e  
[root@localhost testData]#

3.2 过滤回显指定mac 报文

# 直接过滤指定 MAC 地址

sudo tcpdump -i eth0 -nn -e 'ether host 00:11:22:33:44:55'


-e：显示链路层头部（包含 MAC 地址）

ether host：过滤源或目标 MAC 为 00:11:22:33:44:55 的包

输出示例：

bash
12:34:56.789 00:11:22:33:44:55 > 66:77:88:99:aa:bb, ethertype IPv4 (0x0800), length 123...

3.3 区分源/目标 MAC

# sudo tcpdump -i <网口名> -nn -e 'ether src/dst <MAC Address>'

# 过滤源MAC
sudo tcpdump -i eth0 -nn -e 'ether src 00:11:22:33:44:55'

# 过滤目标MAC
sudo tcpdump -i eth0 -nn -e 'ether dst 00:11:22:33:44:55'

2048 AI社区

有“AI”的1024 = 2048，欢迎大家加入2048 AI社区

更多推荐

智能家居生态系统AI应用的进化，AI应用架构师推动前行

早期的规则引擎是“硬编码”的（比如“回家模式”的规则写死在代码里），用户无法修改。低代码规则引擎——让用户用“拖拽”或“简单配置”自定义场景。代码示例：用Node-RED实现“回家模式”// 1. 节点1：监听Wi-Fi连接事件（用Home Assistant的节点）[{"id":"123","type":"ha-event","event_type":"device_tracker.state_