第五章 九析带你轻松完爆 tcpdump

本系列文章:

第一章：九析带你玩转 linux - 内核升级篇

第二章：九析带你玩转 linux - vagrant 安装篇

第三章：九析带你玩转 linux - 僵尸进程（zombie）

第四章：九析带你玩转 linux - 自建 DNS

第五章：九析带你玩转 linux - tcpdump

目录

1 前言

2 使用

1 前言

tcpdump 是一款命令行抓包工具，普遍适用于 linux、unix、windows 操作系统中。tcpdump 工具本身依赖于库文件去获取网卡流量信息，比如在 windows 下就是 winpcap，在 linux 下就是 libpcap 等等。其中 pcap 就是 package capture 的缩写。

2 使用

直接使用如下命令查看流量信息：

tcpdump

命令执行会会抓取通过该主机的所有网络流量。每一行表示一条流量记录，比如：

18:23:11.591431 ARP, Request who-has 192.168.31.100 tell 192.168.31.85, length 28

这行表示一个数据包是在什么时间发生的，属于什么协议（ARP），协议内容是网络上一台主机广播寻找 IP 为 192.168.31.100 的主机。

2.1 抓取指定数量数据包

使用 -c(count) 抓取指定数量的数据包:

tcpdump -c 3

2.2 保存抓包记录

使用 -w(write) 保存抓包记录：

tcpdump -c 6 -w tcpdump.out

2.3 读取抓包记录

使用 -r(read) 从指定文件读取抓包记录：

tcpdump -r tcpdump.out

2.4 查询当前网卡

使用 -D 列出宿主机所有网卡信息：

tcpdump -D

2.5 查看指定网络流量数据

有时我们只想查看通过指定网卡的网络流量数据，可以使用 -i(interface) 参数轻松完爆。比如我想查看环回网卡（lo，也就是 127.x.x.x) 的流量信息，就可以直接使用如下命令：

tcpdump -i lo0

再打开一个命令行终端：

ping 127.0.0.1

再回到运行 tcpdump 命令行终端中，可以看到已经捕捉并显示出流量信息数据。

自此，轻松完爆 tcpdump。