tcpdump cheatsheet

### TCPDump：网络数据包捕获利器 #### 引言 `tcpdump`是一款功能强大的命令行工具，用于监听、捕获和分析网络数据包。它不仅被广泛应用于网络安全审计、故障排查和性能监控，还是网络工程师和系统管理员不可或缺的利器。通过灵活的过滤规则，用户可以精确地定位和捕获感兴趣的数据包，从而深入了解网络通信细节。 #### 基础选项详解 1. **-A**：将数据包的有效载荷以ASCII文本格式打印出来。适用于查看文本协议的数据流，如HTTP或FTP。 2. **-c<count>**：在捕获指定数量（<count>）的数据包后退出。这对于快速测试或限制捕获大小非常有用。 3. **-D**：列出所有可用的网络接口，帮助用户确定正确的监听目标。 4. **-e**：打印链路层头部信息，对于理解底层网络结构和协议有极大帮助。 5. **-F<file>**：使用文件中的表达式作为过滤条件，提供了一种预设过滤规则的便捷方式。 6. **-G<n>**：每n秒旋转一次数据文件，便于长期监控时管理日志文件大小。 7. **-i<iface>**：指定监听的网络接口，是`tcpdump`使用中最常见的参数之一。 8. **-K**：不验证TCP校验和，提高数据包捕获速度，但可能引入错误。 9. **-L**：列出指定接口的链路类型，有助于选择正确的过滤器。 10. **-n**：地址不转换为名称，避免DNS查询延迟，提高数据包解析速度。 11. **-p**：不在混杂模式下捕获，仅接收发往本机的数据包。 12. **-q**：快速输出模式，减少输出的详细程度，加快数据包的显示速度。 13. **-r<file>**：从文件读取数据包，常用于分析已捕获的数据包文件。 14. **-s<len>**：每数据包最多捕获len字节，有效控制内存使用。 15. **-S**：打印绝对TCP序列号，对追踪会话连续性至关重要。 16. **-t**：不打印时间戳，简化输出，加快数据包显示速度。 17. **-v[v[v]]**：增加输出的详细程度，最多三次，适合调试和深入分析。 18. **-w<file>**：将捕获的数据包写入文件，不进行实时分析，便于后期处理。 19. **-x**：以十六进制形式打印数据包的有效载荷，用于二进制数据的分析。 20. **-X**：同时以十六进制和ASCII形式打印数据包的有效载荷，提供更全面的数据视图。 21. **-y<type>**：指定数据链路类型，确保正确解析数据包。 22. **-Z<user>**：从root权限降级到指定用户，增强了安全性和权限管理。 #### 过滤器原始表达式 `tcpdump`的强大之处在于其丰富的过滤器语言，允许用户根据复杂的条件筛选数据包： 1. **[src|dst]host<host>**：匹配IP源、目的或任意端点的主机。 2. **ether[src|dst]host<ehost>**：匹配以太网源、目的或任意端点的主机。 3. **gatewayhost<host>**：匹配使用特定主机作为网关的数据包。 4. **[src|dst]net<network>/<len>**：匹配来自或发送至特定网络的数据包。 5. **[tcp|udp][src|dst]port<port>**：匹配发送至或来自特定端口的TCP或UDP数据包。 6. **[tcp|udp][src|dst]portrange<p1>-<p2>**：匹配在给定范围内端口的TCP或UDP数据包。 7. **less<length>**：匹配长度小于或等于指定值的数据包。 8. **greater<length>**：匹配长度大于或等于指定值的数据包。 9. **(ether|ip|ip6)proto<protocol>**：匹配特定的以太网、IPv4或IPv6协议。 10. **(ether|ip|ip6)multicast**：匹配多播数据包。 11. **type(mgt|ctl|data)[subtype<subtype>]**：匹配基于类型和可选子类型的802.11帧。 12. **vlan[<vlan>]**：匹配具有特定VLAN ID的802.1Q帧。 13. **mpls[<label>]**：匹配具有特定标签的MPLS数据包。 14. **<expr><relop><expr>**：根据任意表达式匹配数据包。 #### 协议与TCP标志 `tcpdump`支持多种网络协议，包括但不限于ARP、ICMP、IPv4、IPv6、TCP、UDP等。此外，还支持精细的TCP标志过滤，如URG、RST、ACK、SYN、PSH和FIN，便于深度分析TCP会话状态。 #### 示例应用 1. **udpdstportnot53**：捕获除53端口（通常用于DNS）之外的所有UDP数据包。 2. **host10.0.0.1&&host10.0.0.2**：捕获同时涉及10.0.0.1和10.0.0.2两个主机的通信。 3. **tcpdstport**：捕获所有目的端口为指定端口的TCP数据包。 通过以上详尽的解析，我们可以看出`tcpdump`是一款功能全面、操作灵活的网络数据包捕获和分析工具，无论是在日常运维、故障排查还是网络安全领域，都有着不可替代的作用。掌握`tcpdump`的使用技巧，能够极大地提升网络工程师和系统管理员的工作效率和问题解决能力。