tcpdump 是一款功能强大的网络数据包分析工具

1. 功能概述
   tcpdump 可以捕获和分析网络上传输的数据包。它允许用户在网络接口上监听经过的流量，并根据指定的条件（如协议类型、源 IP 地址、目的 IP 地址、端口号等）对数据包进行过滤和显示，帮助网络管理员、安全分析师和开发人员排查网络故障、分析网络性能和检测安全漏洞等。
2. 工作原理
   tcpdump 利用操作系统的网络套接字接口来捕获网络数据包。它将网络接口设置为混杂模式（在某些情况下），这样就可以接收和处理经过该接口的所有网络流量，而不仅仅是发往和来自本地主机的流量。然后，根据用户指定的过滤规则对捕获到的数据包进行筛选和处理，最后将符合条件的数据包信息显示在终端或者保存到文件中。
3. 常用参数
   -i：指定要监听的网络接口。例如，tcpdump -i eth0表示在 eth0 接口上捕获数据包。
   -c：指定要捕获的数据包数量。比如，tcpdump -c 10会在捕获到 10 个数据包后停止。
   -w：将捕获的数据包保存到文件中。例如，tcpdump -w packet.pcap会把数据包保存到名为 packet.pcap 的文件中，这种.pcap 格式的文件可以使用 Wireshark 等工具进一步分析。
   -r：从指定的文件中读取数据包并显示。例如，tcpdump -r packet.pcap用于查看之前保存的数据包信息。
   -t：不显示时间戳信息。在某些情况下，如果不需要时间戳，可以使用此参数简化输出。
   -s：指定捕获数据包的大小。例如，tcpdump -s 64表示只捕获每个数据包的前 64 字节。如果不指定，可能会捕获整个数据包，但对于大流量网络，限制数据包大小可以减少数据量和提高性能。
4. 过滤表达式
   基于协议过滤：可以使用协议名称作为过滤条件，如tcp、udp、icmp等。例如，tcpdump tcp只捕获 TCP 协议的数据包。
   基于 IP 地址过滤：使用src（源 IP）和dst（目的 IP）指定 IP 地址。例如，tcpdump src 192.168.1.100捕获源 IP 为 192.168.1.100 的数据包，tcpdump dst 192.168.1.200捕获目的 IP 为 192.168.1.200 的数据包。
   基于端口过滤：使用port指定端口号。例如，tcpdump port 80捕获端口 80 的数据包，tcpdump src port 80捕获源端口为 80 的数据包。
   组合过滤：可以使用and、or、not等逻辑运算符组合多个过滤条件。例如，tcpdump src 192.168.1.100 and dst port 80捕获源 IP 为 192.168.1.100 且目的端口为 80 的数据包。
5. 应用场景
   网络故障排查：当网络出现连接问题、丢包、延迟过高等情况时，可以使用 tcpdump 捕获相关的网络数据包，分析数据包的内容和流向，确定问题所在。例如，检查是否有异常的 IP 地址发送大量数据包，或者是否有特定的协议出现问题。
   网络性能分析：通过捕获网络流量，分析不同协议、不同主机之间的数据包数量、大小和传输时间等信息，评估网络性能。比如，确定网络中的瓶颈是在某个网段、某个服务器还是某个应用程序的网络通信上。
   安全检测：用于检测网络中的异常活动，如未经授权的访问尝试、恶意扫描等。可以通过分析数据包的源 IP、目的 IP、端口和协议等信息，发现潜在的安全威胁。例如，发现大量来自外部 IP 的 SYN 扫描请求（可能是端口扫描攻击）。

1. 基本捕获

捕获指定接口的所有数据包
tcpdump -i eth0
-i选项指定要监听的网络接口（这里是 eth0），此命令会捕获经过 eth0 接口的所有数据包，并在终端输出数据包的头部信息，包括源 IP、目的 IP、协议类型等。输出信息会持续滚动，直到使用Ctrl + C手动停止。
捕获指定数量的数据包
tcpdump -c 10 -i eth0
-c选项用于指定要捕获的数据包数量。这里会在 eth0 接口上捕获 10 个数据包后自动停止。

2. 基于协议的捕获

捕获指定协议的数据包（以 TCP 为例）
tcpdump -i eth0 tcp
此命令只捕获经过 eth0 接口的 TCP 协议数据包。可以将tcp换成udp、icmp等其他协议名称来捕获相应协议的数据包。
捕获多种协议的数据包（以 TCP 和 UDP 为例）
tcpdump -i eth0 tcp or udp
会捕获经过 eth0 接口的 TCP 或 UDP 协议的数据包。

3. 基于 IP 地址的捕获

捕获指定源 IP 地址的数据包
tcpdump -i eth0 src 192.168.1.100
src选项用于指定源 IP 地址，这里会捕获从 IP 地址为 192.168.1.100 的主机发出的数据包（经过 eth0 接口）。
捕获指定目的 IP 地址的数据包
tcpdump -i eth0 dst 192.168.1.200
dst选项用于指定目的 IP 地址，此命令会捕获发往 192.168.1.200 的数据包（经过 eth0 接口）。
捕获指定源和目的 IP 地址的数据包
tcpdump -i eth0 src 192.168.1.100 and dst 192.168.1.200
会捕获源 IP 地址为 192.168.1.100 且目的 IP 地址为 192.168.1.200 的数据包（经过 eth0 接口）。

4. 基于端口的捕获

捕获指定源端口的数据包（以源端口 80 为例）
tcpdump -i eth0 src port 80
会捕获从源端口为 80 的主机发出的数据包（经过 eth0 接口）。
捕获指定目的端口的数据包（以目的端口 80 为例）
tcpdump -i eth0 dst port 80
此命令会捕获发往目的端口为 80 的数据包（经过 eth0 接口）。
捕获指定源和目的端口的数据包（以源端口 80 和目的端口 443 为例）
tcpdump -i eth0 src port 80 and dst port 443
会捕获源端口为 80 且目的端口为 443 的数据包（经过 eth0 接口）。

5. 组合条件捕获

捕获特定源 IP 和特定协议的数据包（以源 IP 192.168.1.100 和 TCP 协议为例）
tcpdump -i eth0 src 192.168.1.100 and tcp
会捕获从 192.168.1.100 发出且为 TCP 协议的数据包（经过 eth0 接口）。
捕获特定目的 IP、特定端口和特定协议的数据包（以目的 IP 192.168.1.200、目的端口 80 和 HTTP 协议为例）
tcpdump -i eth0 dst 192.168.1.200 and dst port 80 and tcp
这里假设 HTTP 协议基于 TCP 协议且使用 80 端口。此命令会捕获发往 192.168.1.200 且目的端口为 80 的 TCP 数据包（经过 eth0 接口），可用于分析对该主机 80 端口的访问情况。

6. 保存捕获数据到文件

将捕获的数据包保存到文件（以.pcap 格式为例）
tcpdump -i eth0 -w capture.pcap
-w选项用于将捕获的数据包保存到指定文件（这里是 capture.pcap）。之后可以使用其他网络分析工具（如 Wireshark）打开这个文件进行详细分析。
从文件中读取数据包进行分析
tcpdump -r capture.pcap
-r选项用于从指定的文件（这里是 capture.pcap）中读取数据包并显示其信息，这在后续分析之前捕获的数据时非常有用。

7. 其他功能

显示更详细的数据包内容（以 ASCII 形式）
tcpdump -i eth0 -A
-A选项会以 ASCII 码形式显示数据包内容，对于查看 HTTP 等文本协议的数据包内容有一定帮助，可以看到请求的 URL、HTTP 头部等信息。
显示更详细的数据包内容（以十六进制和 ASCII 形式）
tcpdump -i eth0 -XX
-XX选项会以十六进制和 ASCII 码形式显示数据包内容，比-A选项显示的信息更详细，可用于深入分析数据包的内容和结构。
指定捕获的数据包大小（以捕获 68 字节为例）
tcpdump -i eth0 -s 68
-s选项用于指定捕获的每个数据包的最大字节数。如果不指定，默认可能会捕获整个数据包，但在某些情况下，限制数据包大小可以减少捕获数据量，提高性能或只关注数据包的头部信息。