Tcpdump相关参数：修订间差异

常用过滤参数

过滤主机

抓取所有经过 eth1，目的或源地址是 192.168.1.1 的网络数据

# tcpdump -i eth1 host 192.168.1.1

源地址

# tcpdump -i eth1 src host 192.168.1.1

目的地址

# tcpdump -i eth1 dst host 192.168.1.1

过滤端口

- 抓取所有经过 eth1，目的或源端口是 25 的网络数据

# tcpdump -i eth1 port 25

源端口

# tcpdump -i eth1 src port 25

目的端口

# tcpdump -i eth1 dst port 25网络过滤

过滤网络(CIDR)

# tcpdump -i eth1 net 192.168

源网络

# tcpdump -i eth1 src net 192.168

目的网络

# tcpdump -i eth1 dst net 192.168

协议过滤

# tcpdump -i eth1 arp

# tcpdump -i eth1 ip

# tcpdump -i eth1 tcp

# tcpdump -i eth1 udp

# tcpdump -i eth1 icmp

vxlan

vni: VXLAN在VXLAN帧头中引入了类似VLAN ID的网络标识，称为VXLAN网络标识VNI（VXLAN Network ID）

# 抓取所有vxlan流量
tcpdump -i eth0 -nnvv "udp[8:2]=0x0800 & 0x0800

# 抓取vni 299976的所有流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF'
# arp流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0806 & 0x0806'
# ip流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800'
# 抓取icmp流量
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800 and udp[39:1] = 0x01 & 0x01'
# 过滤ip源地址 172.16.7.223（0xac1007df）
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800 and udp[42:4] = 0xac1007df'
# 过滤ip目的地址 172.16.7.219（0xac1007db）
tcpdump -s 0 -i eth0 'port 4789 and udp[8:2] = 0x0800 & 0x0800 and udp[11:4] = 299976 & 0x00FFFFFF and udp[28:2] = 0x0800 & 0x0800 and udp[46:4] = 0xac1007db'

常用组合表达式

非 : ! or "not" (去掉双引号)

且 : && or "and"

或 : || or "or"

抓取所有经过 eth1，目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 数据

# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'

抓取所有经过 eth1，目标 MAC 地址是 00:01:02:03:04:05 的 ICMP 数据

# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'

抓取所有经过 eth1，目的网络是 192.168，但目的主机不是 192.168.1.200 的 TCP 数据

# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'

只抓 SYN 包

# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'

抓 SYN, ACK

# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0' 

结合tcp会话状态过滤报文(在wireshark中过滤使用)

参考: https://juejin.cn/post/7108685813424390152

tcp.completeness

抓 SMTP 数据

抓取数据区开始为"MAIL"的包，"MAIL"的十六进制为 0x4d41494c

# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'

抓 HTTP GET 数据

"GET "的十六进制是 47455420

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'

抓 SSH 返回

# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'

"SSH-"的十六进制是 0x5353482D

抓老版本的 SSH 返回信息，如"SSH-1.99.."

# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'  

抓 DNS 请求数据

# tcpdump -i eth1 udp dst port 53

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工 CTRL+C 还是

抓的太多，于是可以用-c 参数指定抓多少个包。

# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null 

上面的命令计算抓 10000 个 SYN 包花费多少时间，可以判断访问量大概是多少。

实时抓取端口号8000的GET包，然后写入GET.log

tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log

参考：https://blog.csdn.net/nanyun2010/article/details/23445223