tcpdump使用简介

作者：James Zhu (fatindeed@hotmail.com)

创建日期：2018-06-22

引言

在Windows系统中，我们可以通过Fiddler进行抓包，以查看应用程序在网络传输中到底发送/接收了什么内容。在*nix系统中，我们使用什么软件呢——tcpdump。

tcpdump 是一个很常用的网络包分析工具，可以用来显示通过网络传输到本系统的 TCP/IP 以及其他网络的数据包。tcpdump 使用 libpcap 库来抓取网络报文，这个库在几乎在所有的 Linux/Unix 中都有。

tcpdump 可以从网卡或之前创建的数据包文件中读取内容，也可以将包写入文件中以供后续使用。必须是 root 用户或者使用 sudo 特权来运行 tcpdump。

在本文中，我们将会通过一些实例来演示如何使用 tcpdump 命令。

快速开始

本地开发环境（docker-php-dev）的nginx映象中，已经安装了tcpdump，直接使用capture即可。用法如下：

$ docker exec -it dockerphpdev_nginx_1 capture
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C
11 packets captured
11 packets received by filter
0 packets dropped by kernel

脚本会将捕获的包保存在 www/pcap/{Ymd} 目录下的 cap 文件。capture脚本源代码如下：

LOGDIR="/data1/www/pcap/`date +%Y%m%d`"
if [ ! -d "$LOGDIR" ]; then
    mkdir -p "$LOGDIR"
fi
tcpdump tcp port 80 or tcp port 443 -s 0 -w "$LOGDIR/`date +%H%M%S`.cap"

参数说明

• tcp port 80 or tcp port 443

  监听端口80或443

• -s 0

  抓取数据包时默认抓取长度为68字节，加上-s 0后可以抓到完整的数据包

• -w packets_file

  将所有捕获的包写入文件，以便其它软件（如：Wireshark）解析

如果capture无法满足你的需求，可参考上述命令在nginx容器的Shell中直接运行tcpdump。

Wireshark的使用说明不在本文详细介绍，大致流程就是加载cap文件后，根据规则过滤出需要的结果。如果是https的包，需加载证书docker-php-dev/build/nginx/pki/tls/private/guanaitong-dev.key，具体方法请阅读 SSL - The Wireshark Wiki。

参考资料

• Manpage of TCPDUMP

• SSL - The Wireshark Wiki