数据包分析器：15个TCPDUMP命令示例

通过萨西卡拉上 2010年8月25日

tcpdump命令也称为数据包分析器。

tcpdump命令将在大多数版本的Unix操作系统上运行。 tcpdump允许我们保存捕获的数据包，以便我们可以将其用于将来的分析。可以使用相同的tcpdump命令查看保存的文件。我们还可以使用Wireshark等开源软件来读取tcpdump pcap文件。

在本tcpdump教程中，让我们讨论一些有关如何使用tcpdump命令的实际示例。

1. Capture packets from a particular 道德ernet interface using tcpdump -i

不执行任何选项而执行tcpdump命令时，它将捕获流过所有接口的所有数据包。 tcpdump命令的-i选项允许您在特定的以太网接口上进行过滤。

$ tcpdump -i 道德1
14:59:26.608728 IP xx.domain.netbcp.net.52497 > valh4.lell.net.ssh: . ack 540 win 16554
14:59:26.610602 IP resolver.lell.net.domain > valh4.lell.net.24151:  4278 1/0/0 (73)
14:59:26.611262 IP valh4.lell.net.38527 > resolver.lell.net.domain:  26364+ PTR? 244.207.104.10.in-addr.arpa. (45)

In this example, tcpdump captured all the packets flows in the interface 道德1 和 displays in the standard output.

注意: 编辑帽实用程序用于从转储文件中选择或删除特定的数据包，并将其转换为给定的格式。

2.使用tcpdump -c仅捕获N个数据包

当您执行tcpdump命令时，它将提供数据包，直到您取消tcpdump命令为止。使用-c选项，您可以指定要捕获的数据包数量。

$ tcpdump -c 2 -i 道德0
listening 上 道德0, link-type EN10MB (Ethernet), 捕获大小 96 通过tes
14:38:38.184913 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457255642:1457255758(116) ack 1561463966 win 63652
14:38:38.690919 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652
2 packets captured
13 packets received 通过 filter
0 packets dropped 通过 kernel

The above tcpdump命令 captured 上ly 2 packets from interface 道德0.

注意： Mergecap 和 TShark：Mergecap是一个数据包转储合并工具，它将多个转储合并到一个转储文件中。 Tshark是捕获网络数据包的强大工具，可用于分析网络流量。它带有wireshark网络分析仪发行版。

3.使用tcpdump -A以ASCII显示捕获的数据包

以下tcpdump语法以ASCII格式打印数据包。

$ tcpdump -A -i 道德0
tcpdump：禁止详细输出，请使用-v或-vv进行完整协议解码
listening 上 道德0, link-type EN10MB (Ethernet), 捕获大小 96 通过tes
14:34:50.913995 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457239478:1457239594(116) ack 1561461262 win 63652
[email protected]@..]..i...9...*.V...]...P....h....E...>{..U=...g.
......G..7\+KA....A...L.
14:34:51.423640 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652
[email protected]@..\..i...9...*.V..*]...P....h....7......X..!....Im.S.g.u:*..O&....^#Ba...
E..([email protected]|.....9...i.*...]...V..*P..OWp........

注意： Ifconfig 该命令用于配置网络接口

4. Display Captured Packets in HEX 和 ASCII using tcpdump -XX

一些用户可能希望以十六进制值分析数据包。 tcpdump提供了一种以ASCII和HEX格式打印数据包的方法。

$tcpdump -XX -i 道德0
18:52:54.859697 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 232 win 16511
        0x0000:  0050 569c 35a3 0019 bb1c 0c00 0800 4500  .PV.5.........E.
        0x0010:  0028 042a 4000 7906 c89c 10b5 aaf6 0f9a  .(.*@.y.........
        0x0020:  69c4 f999 0016 57db 6e08 c712 ea2e 5010  i.....W.n.....P.
        0x0030:  407f c976 0000 0000 0000 0000            @..v........
18:52:54.877713 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]
        0x0000:  0050 569c 35a3 0000 0000 0000 0800 4600  .PV.5.........F.
        0x0010:  0024 0000 0000 0102 3ad3 0a00 0000 e000  .$......:.......
        0x0020:  0001 9404 0000 1101 ebfe 0000 0000 0300  ................
        0x0030:  0000 0000 0000 0000 0000 0000            ............

5. Capture the packets 和 write into a file using tcpdump -w

tcpdump允许您将数据包保存到文件中，以后您可以使用数据包文件进行进一步分析。

$ tcpdump -w 08232010.pcap -i 道德0
tcpdump: listening 上 道德0, link-type EN10MB (Ethernet), 捕获大小 96 通过tes
32 packets captured
32 packets received 通过 filter
0 packets dropped 通过 kernel

-w选项将数据包写入给定文件。文件扩展名应为.pcap，任何网络协议均可读取
分析仪。

6.使用tcpdump -r从保存的文件中读取数据包

You can read the captured pcap file 和 view the packets for analysis, as shown below.

$tcpdump -tttt -r data.pcap
2010-08-22 21:35:26.571793 00:50:56:9c:69:38 (oui Unknown) > Broadcast, 道德ertype Unknown (0xcafe), length 74:
        0x0000:  0200 000a ffff 0000 ffff 0c00 3c00 0000  ............<...
        0x0010:  0000 0000 0100 0080 3e9e 2900 0000 0000  ........>.).....
        0x0020:  0000 0000 ffff ffff ad00 996b 0600 0050  ...........k...P
        0x0030:  569c 6938 0000 0000 8e07 0000            V.i8........
2010-08-22 21:35:26.571797 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 800464396:800464448(52) ack 203316566 win 71
2010-08-22 21:35:26.571800 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 52:168(116) ack 1 win 71
2010-08-22 21:35:26.584865 IP valh5.lell.net.ssh > 11.154.12.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC

7.使用tcpdump -n捕获具有IP地址的数据包

在以上所有示例中，它打印带有DNS地址而不是IP地址的数据包。以下示例捕获数据包，并将显示所涉及机器的IP地址。

$ tcpdump -n -i 道德0
15:01:35.170763 IP 10.0.19.121.52497 > 11.154.12.121.ssh: P 105:157(52) ack 18060 win 16549
15:01:35.170776 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 23988:24136(148) ack 157 win 113
15:01:35.170894 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 24136:24380(244) ack 157 win 113

8.使用tcpdump -tttt捕获具有正确可读时间戳的数据包

$ tcpdump -n -tttt -i 道德0

2010-08-22 15:10:39.162830 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 49800 win 16390
2010-08-22 15:10:39.162833 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50288 win 16660
2010-08-22 15:10:39.162867 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50584 win 16586

9.读取长度超过N个字节的数据包

您只能使用过滤器接收大于n个字节的数据包‘greater’通过tcpdump命令

$ tcpdump -w g_1024.pcap 更大的 1024

10.仅接收特定协议类型的数据包

您可以根据协议类型接收数据包。您可以指定以下协议之一—fddi，tr，wlan，ip，ip6，arp，rarp，decnet，tcp和udp。以下示例仅捕获流经eth0接口的arp数据包。

$ tcpdump -i 道德0 arp
tcpdump：禁止详细输出，请使用-v或-vv进行完整协议解码
listening 上 道德0, link-type EN10MB (Ethernet), 捕获大小 96 通过tes
19:41:52.809642 arp who-has valh5.lell.net tell valh9.lell.net
19:41:52.863689 arp who-has 11.154.12.1 tell valh6.lell.net
19:41:53.024769 arp who-has 11.154.12.1 tell valh7.lell.net

11. Read packets 减er than N 通过tes

您只能使用过滤器接收少于n个字节的数据包‘less’通过tcpdump命令

$ tcpdump -w l_1024.pcap  减 1024

12.使用tcpdump端口接收特定端口上的数据包流

如果要了解计算机上特定端口接收的所有数据包，可以使用tcpdump命令，如下所示。

$ tcpdump -i 道德0 port 22
19:44:44.934459 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 18932:19096(164) ack 105 win 71
19:44:44.934533 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19096:19260(164) ack 105 win 71
19:44:44.934612 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19260:19424(164) ack 105 win 71

13. Capture packets for particular destination IP 和 Port

数据包将具有源和目标IP和端口号。使用tcpdump，我们可以在源或目标IP和端口号上应用过滤器。以下命令捕获具有特定目标ip和端口号22的eth0中的数据包流。

$ tcpdump -w xpackets.pcap -i 道德0 dst 10.181.140.216 和 port 22

14.捕获两个主机之间的TCP通信数据包

如果来自两个不同机器的两个不同进程正在通过tcp协议进行通信，则可以使用tcpdump捕获这些数据包，如下所示。

$tcpdump -w comm.pcap -i 道德0 dst 16.181.170.246 和 port 22

您可以使用任何网络协议分析器工具打开文件comm.pcap来调试任何潜在的问题。

15. tcpdump过滤器数据包– Capture all the packets other than arp 和 rarp

在tcpdump命令中，您可以给“and”, “or” 和 “not”条件以相应地过滤数据包。

$ tcpdump -i 道德0 不 arp 和 不 rarp
20:33:15.479278 IP resolver.lell.net.domain > valh4.lell.net.64639:  26929 1/0/0 (73)
20:33:15.479890 IP valh4.lell.net.16053 > resolver.lell.net.domain:  56556+ PTR? 255.107.154.15.in-addr.arpa. (45)
20:33:15.480197 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 540:1504(964) ack 1 win 96
20:33:15.487118 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 540 win 16486
20:33:15.668599 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]

> 添加您的评论

如果您喜欢这篇文章，您可能还会喜欢..

标记为：艾克斯tcpdump, dhcp tcpdump, FreeBSD tcpdump, TCP转储, tcpdump命令, tcpdump DNS, Windows版tcpdump, tcpdump格式, tcpdump如何, tcpdump icmp, tcpdump ip, tcpdump 不, tcpdump Windows, tcpdump Wireshk

{ 42 评论… 加一 }

杰弗里 2010年8月25日，上午2:50

Why 不 use wireshark?

链接
ZigorAlcañizEiguren 2010年8月25日，上午2:57

嗨！

不错的提示，很好的工作。

我认为14号有一个小故障。

应该是这样的：
$tcpdump -w comm.pcap -i 道德0 tcp host 16.181.170.246 or host 10.181.140.216.

您指定只需要TCP通信，而您不这样做’•指定要将这些主机用作src还是dst，以便它捕获双向流量。

再见…

链接
ZigorAlcañizEiguren 2010年8月25日，上午3:05

抱歉，…我纠正了自己（这种情况是因为在编写之前没有尝试过该命令）：

缺乏“and”:
$tcpdump -w comm.pcap -i 道德0 tcp 和 $host 16.181.170.246 or host 10.181.140.216$

再见…

链接
坦美乔希 2010年8月25日，上午6:30

不错的文章。对我来说很好开始。只是有一个建议，第8点应该早于第6点。我对-tttt选项有点困惑，并在第8点得到了解决。

但是为此。确实可以帮助我进一步进入linux世界。

谢谢，
坦美

链接
迪吉 2010年8月25日，上午10:48

14号应该是：

tcpdump -w comm.pcap -i 道德0 src xxx.xxx.xxx.xxx 和 port 22 和 dst xxx.xxx.xxx.xxx 和 port 22

That captures all ssh packets flowing between the source 和 destination addresses.

关于先前的建议使用Wireshark的评论，而我使用它却发现它是一种出色的工具：1）它需要一个桌面环境，至少在服务器上，’通常是不可取的；并且2）它有一些开销，并且可能无法捕获繁忙网络中的所有数据包； tcpdump的重量很轻，并且捕获所有数据包都没有问题。 .BTW，正如OP和其他人可能知道的那样，Wireshark可以读取/渲染tcpdump输出文件

链接
安华 2010年8月25日，下午3:58

why 不 whireshark..??? yea…此命令可在所有Unix OS上运行。
But wireshark is best if you want to capture the Network packets 和 use them for analyzing..

链接
伊万·卡拉斯科（Ivan Carrasco） 2010年8月27日，上午9:25

Wireshark仅在图形界面，即CLI上的tcpdump中工作。

问候，
伊万

链接
布拉德 2010年9月1日，下午3:58

如文中所述，Wireshark @Ivan还附带了CLI工具tshark。可以在仅CLI的环境中的服务器上使用。虽然，我不’不知道它是否比tcpdump有任何优势。

链接
国际货币基金组织 2011年1月14日，上午9:01

您好我正在使用以下命令：
tcpdump -i 道德0 -n
这将产生所有可见流量。来自我们的10.11.76.x子网的大量HTTP通信。
但是，如果我尝试过滤，无论使用什么，都不会得到任何结果。
tcpdump -i 道德0 -n port 80
没有流量？！
同样，尝试过滤源IP或目标IP不会产生任何流量。即使当我使用我知道是闲聊的IP时，我也一无所获。
有什么想法吗？提前致谢。

链接
迪吉 2011年1月14日，上午10:53

我认为应该“tcpdump -i 道德0 -n dst port 80″ (” added for clarity)

链接
拉尼什·潘卡（Rajnish Pankaj） 2011年1月28日上午8:17

你好

非常有趣，但我想查看dscp标记值和其他详细信息。是否可以在tcpdump分析器中查看该选项？

链接
Mullaiselvan。中号 2011年3月28日，上午7:04

好啊….
我尝试过tcpdump / tshark / tethereal捕获ab -n 1000中的端口80数据包 http：// fedora9 / 和grep仅源IP和SYN数据包。但是大多数时候这些工具没有’t捕获1000个SYN请求。有谁知道为什么。请回复。

谢谢…

链接
普拉萨德 2011年3月28日，上午7:15

你好

非常感谢这个论坛的所有人。这里提供的信息对我很有帮助…

The below command will capture the udp network packets(to 和 fro) between the two IPs.

command: tcpdump -w -s -i udp 和 $host 和 host $

示例：tcpdump -w comm.pcap -s 1000 -i bond0 udp和\（主机172.20.68.176和主机172.24.173.9 \）

谢谢& 问候，
普拉萨德

链接
强尼 2011年8月25日，上午9:41

I wanted to learn basic tcpdump 和 came across this site. Great Job 和 many thanks!

链接
维卡斯 2011年9月15日，上午1:56

好文章拉梅什！谢谢。

链接
imkapps 2011年9月25日，下午4:11

谢谢你的帖子，我’m trying to do the following 和 was hoping to use tip 14 for that.
我有一台iPhone，可以控制我的电视。
iPhone是通过路由器的WLAN连接的，电视是通过LAN连接到路由器的。
我想通过在PC上通过TCPDump（通过LAN）或在笔记本电脑（WLAN）上捕获iPhone和电视之间的数据。

这可能吗？

链接
统计 2011年11月3日，上午6:26

如果我需要特定IP的所有消息流（源和目标），是否有人可以提供tcpdump命令格式的帮助？

链接
MH 2011年11月23日，下午12:47

有人可以告诉我此捕获数据包命令上使用的IP协议号，源IP地址和目标IP地址吗？

[[email protected] ~]$ sudo tcpdump -v -X -i 道德1 -l | tee lo
g16.txt
tcpdump: listening 上道德1, link-type EN10MB (Ethernet), 捕获大小 96 通过tes
11：57：24.580138 IP（tos 0xc0，ttl 64，id 65248，偏移量0，标志[无]，原型：
UDP（17），长度：192）200.0.9.10.router> 200.0.9.255.router:
RIPv2，响应，长度：164，路由：8
AFI：IPv4：200.0.5.0/24，标记0x0000，指标：1，下一跳：自我
AFI：IPv4：200.0.7.0/24，标记0x0000，指标：1，下一跳：self [|

链接
安斯曼·高尔（Anshuman Goyal） 2011年11月29日，上午8:59

如果我想用Content-Type过滤来自tcpdump的数据包怎么办？

我想捕获所有内容类型为视频的数据包。 tcpdump是否有可能？

链接
塔希尔 2011年12月14日，上午12:02

非常好& precise tutorial.
帮助很大。
干得好！

谢谢a bundle.

链接
阿南特·阿加瓦尔（Anant Agarwal） 2012年3月11日，上午7:19

嘿，我如何生成tcpdump–

1.流动持续时间
2. Flow volume in 通过tes 和 packets
3.封包长度
4.数据包之间的到达时间

任何帮助，将不胜感激。谢谢。

链接
野田 2012年6月6日，下午6:56

I’m寻找linux命令以能够在客户站点的linux机器上测量网络速度。您认为tcpdump可以用来测量速度吗？我们无法使用ipef之类的工具，因为它需要安装在客户端和服务器上。可以运行以下命令，通过分析时间和长度来计算速度。
“tcpdump -c 50 -i 道德0 -n -tttt”

链接
帕万 2012年6月15日，上午1:38

很好阅读。请发表更多与此相关的文章，对每一个人都非常有帮助

链接
佩鲁索 2012年8月20日，下午6:21

嗨，有谁知道通过tcpdump是否有办法知道在使用NAT时数据包是否已转换，或者是否将数据包重定向到其他IP？

链接
Jamuna 2012年8月31日，上午3:45

我如何获取tcpdump生成–
1.包
2.字节
3.封包大小
4.包间时间

链接
Jamuna 2012年8月31日，上午6:54

是否可以通过tcpdump（或其他程序）获取网络上数据包的大小？还是可以计算出来？

链接
纳文 2012年9月11日，下午4:02

–查看哪些数据包从端口8021发送到目标xx.yy.c.d
tcpdump -s0 -A -n -tttt -i 道德0:1 dst xx.yy.c.d 和 port 8021

–查看从源xx.yy.c.d接收到端口8021的哪些数据包
tcpdump -s0 -A -n -tttt -i 道德0:1 src xx.yy.c.d 和 port 8021

链接
鲍勃 2013年2月12日，晚上10:21

小错误：eth0将永远不存在，因为没有‘eth’司机。也许您的意思是re0，rl0，wlan0，en0，lagg0等？

链接
匿名 2013年4月28日，下午7:09

Wireshark是一个很棒的分析工具。但是，在筛选涉嫌包含非法流量的捕获内容时不使用它的一个原因是Wireshark具有许多安全漏洞。我相信这些缺陷最可归因于许多可用的插件。

本质上，仅通过读取旨在破坏某些版本中漏洞的数据包，即可破坏Wireshark。

链接
阿卜杜勒·马吉德·拉迪 2013年7月4日，上午6:40

how can i get red of the SSAP 和 DSAP !!?
tcpdump中是否有任何选项可以嗅探来自Tap设备的内联流量？

# tcpdump -c 20 -tttt -i 道德2
tcpdump: WARNING: 道德2: no IPv4 address assigned
tcpdump：禁止详细输出，请使用-v或-vv进行完整协议解码
listening 上道德2, link-type EN10MB (Ethernet), 捕获大小 96 通过tes
2013-07-04 15：37：00.362454 00：12：1e：2d：45：00（oui未知）OSI>00：18：74：17：fb：40（oui未知）未知DSAP 0x62信息，发送seq 0，rcv seq 0，标志[Command，Poll]，长度576
2013-07-04 15：37：00.362537 00：12：1e：2d：45：00（oui未知）OSI>00：18：74：17：fb：40（oui未知）未知DSAP 0x62信息，发送seq 0，rcv seq 0，标志[Command，Poll]，长度93
2013-07-04 15：37：00.362554 00：12：1e：2d：45：00（oui未知）OSI>00：18：74：17：fb：40（oui未知）未知DSAP 0x62信息，发送seq 0，rcv seq 0，标志[Command，Poll]，长度576
2013-07-04 15：37：00.362569 00：18：74：17：45：00（oui未知）未知SSAP 0x16>00：12：1e：2d：04：1f（oui未知）未知DSAP 0x1c信息，发送seq 32，rcv seq 0，标志[Command，Poll]，长度46
2013-07-04 15：37：00.362555 00：18：74：17：45：00（oui未知）未知SSAP 0x62>00：12：1e：2d：04：1f（oui未知）未知DSAP 0x5a信息，发送seq 32，rcv seq 0，标志[Command]，长度46
2013-07-04 15：37：00.362877 00：18：74：17：45：00（oui未知）未知SSAP 0x08>00：12：1e：2d：04：1f（oui未知）未知DSAP 0x6a信息，发送seq 32，rcv seq 0，标志[命令]，长度46
2013-07-04 15：37：00.363100 00：12：1e：2d：45：00（oui未知）未知SSAP 0x8a>00：18：74：17：fb：40（oui未知）未知DSAP 0x30信息，发送seq 32，rcv seq 0，标志[命令]，长度1440

链接
莫敏 2013年7月6日，下午4:50

Excellent article to start using tcpdump; simple 和 precise. Thank you.

链接
迪内什（Dinesh Venkata） 2014年2月25日，上午4:33

你好

如果我需要在上个月的20日在主机和目标服务器之间运行tcp dump，其语法是什么。请告诉我

谢谢
Dinesh

链接
马吉德 2014年3月17日，上午2:38

你好
-s0选项用于什么，这是用来指定主机，如果我不这样做’t use -s0?
是否有任何选项可以根据持续时间而非数据包捕获TCP转储？

tcpdump -c 60 -i 道德1 -s0 host XXX.XXX.XXX.XXX -w test.cap

再见

链接
比尔·N 2014年11月5日，下午4:06

当tcpdump显示‘capture size’，是否包含任何类似TCP标头的信息。例如，我的应用程序希望每次在特定端口上读取800到100个字节。通常，我会在‘capture size’。另外，我不能在十六进制/ ascii输出（-A选项或-XX选项）中显示正面或反面。

链接
shashikumar H R 2014年11月28日，上午2:58

如何使用tcpdump捕获pcap-ng格式的数据包？

链接
比拉尔 2015年4月2日，上午10:10

你好

您能告诉tcpdump命令捕获特定目的地号码（例如923333333333）上的数据包以进行Sip呼叫吗？
还有如何捕获两个IP之间的sip呼叫流的数据包？

请告诉我。

问候，

链接
尼梅什 2015年4月11日，上午8:03

大家好，

我不能接受以下命令的pcap，但我可以实时查看流量，因此，如果需要在以下命令中进行eth4过滤，应输入什么命令。

tcpdump -n host 10.10.3.2 和 port 161 | grep -i ‘eth4’-w /var/crm12345.pcap -s 4000

有人建议我。

链接
查拉纳 2015年6月26日，上午5:56

谢谢你的教养

链接
吉玛 2015年12月5日，上午6:12

是否有一个应用程序可以监视网络上ip的数据包大小/或使用了多少数据？

链接
oop 2016年6月10日，上午1:21

14.捕获两个主机之间的TCP通信数据包

$tcpdump -w comm.pcap -i 道德0 dst 16.181.170.246 和 port 22

I think you mistook the command. source 不 specified instead of port 22?

链接
惠灵顿Torrejais da Silva 2016年9月2日，上午6:20

谢谢again!

链接
兰扬 2017年4月5日，上午6:11

tcpdump -nni 道德0 host *.*.*.* 和 port 22

其中*表示IP地址。

谁能让我知道为什么使用上面的命令？

链接

下一篇： Linux cpio Examples: How to Create 和 Extract cpio Archives (and tar archives)

上一篇： How To Be Productive 和 Get Things Done Using GTD