一、抓取http协议包

获取get请求

tcpdump -nn -i eth1 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

获取post请求

tcpdump -s 0 -i eth1 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

监听端口

tcpdump -i lo0 port 8075 -X -e -v -n -vv

二、抓tcp协议包-举例

下面的例子全是以抓取eth0接口为例，如果不加-i eth0是表示抓取所有的接口包括lo。
 

1、抓取包含10.10.10.122的数据包

tcpdump -i eth0 -vnn host 10.10.10.122

2、抓取包含10.10.10.0/24网段的数据包

tcpdump -i eth0 -vnn net 10.10.10.0/24

3、抓取包含端口22的数据包

tcpdump -i eth0 -vnn port 22

4、抓取udp协议的数据包

tcpdump -i eth0 -vnn udp

5、抓取icmp协议的数据包

tcpdump -i eth0 -vnn icmp

6、抓取arp协议的数据包

tcpdump -i eth0 -vnn arp

7、抓取ip协议的数据包

tcpdump -i eth0 -vnn ip

8、抓取源ip是10.10.10.122数据包。

tcpdump -i eth0 -vnn class="lazy" data-src host 10.10.10.122

9、抓取目的ip是10.10.10.122数据包

tcpdump -i eth0 -vnn dst host 10.10.10.122

10、抓取源端口是22的数据包

tcpdump -i eth0 -vnn class="lazy" data-src port 22

11、抓取源ip是10.10.10.253且目的ip是22的数据包

tcpdump -i eth0 -vnn class="lazy" data-src host 10.10.10.253 and dst port 22

12、抓取源ip是10.10.10.122或者包含端口是22的数据包

tcpdump -i eth0 -vnn class="lazy" data-src host 10.10.10.122 or port 22

13、抓取源ip是10.10.10.122且端口不是22的数据包

[root@ ftp]# tcpdump -i eth0 -vnn class="lazy" data-src host 10.10.10.122 and not port 22

14、抓取源ip是10.10.10.2且目的端口是22，或源ip是10.10.10.65且目的端口是80的数据包。

tcpdump -i eth0 -vnn ( class="lazy" data-src host 10.10.10.2 and dst port 22 ) or ( class="lazy" data-src host 10.10.10.65 and dst port 80 )

15、抓取源ip是10.10.10.59且目的端口是22，或源ip是10.10.10.68且目的端口是80的数据包。

tcpdump -i eth0 -vnn ‘class="lazy" data-src host 10.10.10.59 and dst port 22’ or ’ class="lazy" data-src host 10.10.10.68 and dst port 80 ’

16、把抓取的数据包记录存到/tmp/fill文件中，当抓取100个数据包后就退出程序。

tcpdump –i eth0 -vnn -w /tmp/fil1 -c 100

17、从/tmp/fill记录中读取tcp协议的数据包

tcpdump –i eth0 -vnn -r /tmp/fil1 tcp

18、从/tmp/fill记录中读取包含10.10.10.58的数据包

tcpdump –i eth0 -vnn -r /tmp/fil1 host 10.10.10.58

常用方法：

tcpdump -nnnv arp                 # 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53    # DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53      # 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1    # 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2   #获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包

tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )     # 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80   # 捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。

tcpdump -nnnv class="lazy" data-src 192.168.15.129 and port 53   # 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP

二、命令格式选项简介

tcpdump host 172.16.29.40 and port 4600 -X -s 500

tcpdump采用命令行方式，它的命令格式为：
　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
　　　　　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ]

-a 　　 将网络地址和广播地址转变成名字；
-d 　　　 将匹配信息包的代码以人们能够理解的汇编格式给出；
-dd 　　 将匹配信息包的代码以c语言程序段的格式给出；
-ddd 　 将匹配信息包的代码以十进制的形式给出；
-e 　　 在输出行打印出数据链路层的头部信息；
-f 　　 将外部的Internet地址以数字的形式打印出来；
-l 　　　 使标准输出变为缓冲行形式；
-n 不进行IP地址到主机名的转换；
#eth0 ＜ ntc9.1165 ＞ router.domain.net.telnet，使用-n后变成了：
eth0 ＜ 192.168.0.9.1165 ＞ 192.168.0.1.telnet。
　　　-t 　　　 在输出的每一行不打印时间戳；
-v 　　 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
-vv 　　 输出详细的报文信息；
-c 　 在收到指定的包的数目后，tcpdump就会停止；
-F 　　　 从指定的文件中读取表达式,忽略其它的表达式；
-i 　　　 指定监听的网络接口；
-r 　 从指定的文件中读取包(这些包一般通过-w选项产生)；
-w 　　　 直接将包写入文件中，并不分析和打印出来；
-T 　　　 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc（远程过程调用）和snmp（简网络管理协议）
　 -nn 不进行端口名称的转换。
#上面这条信息使用-nn后就变成了：eth0 ＜ ntc9.1165 ＞ router.domain.net.23。
 

三、tcpdump的表达式介绍

表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表
达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会
被截获。
在表达式中一般如下几种类型的关键字，一种是关于类型的关键字，主要包括host，
net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明
202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是
host.
第二种是确定传输方向的关键字，主要包括class="lazy" data-src , dst ,dst or class="lazy" data-src, dst and class="lazy" data-src ,
这些关键字指明了传输的方向。举例说明，class="lazy" data-src 210.27.48.2 ,指明ip包中源地址是210.27.
48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则
缺省是class="lazy" data-src or dst关键字。
第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在
FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和e
ther具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会
监听所有协议的信息包。
#-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx
 

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,
greater,还有三种逻辑运算，取非运算是 ‘not ’ ‘! ‘, 与运算是’and’,’&&’;或运算 是’o
r’ ,’||’；
这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来
说明。
(1)想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
#tcpdump host 210.27.48.1
(2) 想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 )
(3) 如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1
 

四、 tcpdump 的输出结果介绍

下面我们介绍几种典型的tcpdump命令的输出信息

(1) 数据链路层头信息

使用命令#tcpdump --e host ice
ice 是一台装有linux的主机，她的MAC地址是0：90：27：58：AF：1A
H219是一台装有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一条
命令的输出结果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.
telnet 0:0(0) ack 22535 win 8760 (DF)
分析：21：50：12是显示的时间， 847509是ID号，eth0 <表示从网络接口eth0 接受该
数据包，eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它
表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的
目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.
telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535
表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.
 

(2) ARP包的TCPDUMP输出信息

使用命令#tcpdump arp
得到的输出结果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是
ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE 的MAC地址。

(3) TCP包的输出信息

用TCPDUMP捕获的TCP包的一般输出信息是：
class="lazy" data-src > dst: flags da
ta-seqno ack window urgent options
class="lazy" data-src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) “.” (没有标记); data-seqno是数据包中的数据的顺序号, ack是
下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针.
Options是选项.

(4) UDP包的输出信息

用TCPDUMP捕获的UDP包的一般输出信息是：
route.port1 > ice.port2: udp lenth
UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机
ICE的port2端口，类型是UDP， 包的长度是lenth

五、抓包生产实战

1、使用tcpdump排查MySQL数据库tps飙升的问题

当时程序中并没有记录所有执行的sql语句。因此，没有一个现成的数据文件供分析。Sql语句是通过网络以文本方式传输到mysql服务器端的。因此我们完全可以通过tcpdump这个工具把所有的sql语句捕获到。

首先，为了便于比对，我先把一台服务器上的代码回滚到上线前的版本。

其次，我在两台服务器上同时执行tcpdump命令，以捕获所有执行的sql脚本。这两台服务器分别运行着上线前的旧版本程序和上线后的新版本程序。抓包命令如下：

$sudo tcpdump -i eth0 -A -s 3000 port 3306 > ~/sql.log

注意，我们在使用tcpdump的时候加了-A参数，这样就可以把sql语句都显示出来了。更多tcpdump使用，可以查看文章 调试利器之tcpdump详解

大约执行1分钟后，同时停止执行。这个时候，sql.log文件中已经包含了这段时间执行的所有sql语句。示例如下：

$grep ‘update’ ./sql.log | head…5u.vD…update session_table set expire=’2014-12-12 20:01:23’ where sess_id = ‘demostring123’ limit 1

既然我们现在已经有了所有执行的sql语句，我们就可以很容易的通过使用grep， wc 等命令分析出是那些sql语句执行次数猛增了。

2、抓k8s pod包

需求：查询k8s 哪个pod访问地址10.1.2.148

[root@k8s-wgx-master-100 ~]# tcpdump -i cni0 -vnn dst host 10.1.2.148tcpdump: listening on cni0, link-type EN10MB (Ethernet), capture size 262144 bytes-----------16:52:55.419444 IP (tos 0x0, ttl 64, id 29694, offset 0, flags [DF], proto TCP (6), length 60)    10.130.2.77.38704 > 10.1.2.148.80: Flags [S], cksum 0x1992 (incorrect -> 0x9594), seq 570124070, win 29200, options [mss 1460,sackOK,TS val 4051375320 ecr 0,nop,wscale 9], length 016:52:55.420007 IP (tos 0x0, ttl 64, id 29695, offset 0, flags [DF], proto TCP (6), length 52)    10.130.2.77.38704 > 10.1.2.148.80: Flags [.], cksum 0x198a (incorrect -> 0x718d), ack 782493155, win 58, options [nop,nop,TS val 4051375321 ecr 4142053680], length 016:52:55.428356 IP (tos 0x0, ttl 64, id 29697, offset 0, flags [DF], proto TCP (6), length 52)    10.130.2.77.38704 > 10.1.2.148.80: Flags [.], cksum 0x198a (incorrect -> 0x6cb9), ack 534, win 60, options [nop,nop,TS val 4051375329 ecr 4142053688], length 016:52:55.428909 IP (tos 0x0, ttl 64, id 29698, offset 0, flags [DF], proto TCP (6), length 52)    10.130.2.77.38704 > 10.1.2.148.80: Flags [F.], cksum 0x198a (incorrect -> 0x6cb6), seq 685, ack 535, win 60, options [nop,nop,TS val 4051375330 ecr 4142053688], length 016:52:55.470916 IP (tos 0x0, ttl 64, id 3063, offset 0, flags [DF], proto TCP (6), length 60)    10.130.2.77.38710 > 10.1.2.148.80: Flags [S], cksum 0x1992 (incorrect -> 0x0064), seq 4280033019, win 29200, options [mss 1460,sackOK,TS val 4051375372 ecr 0,nop,wscale 9], length 016:52:55.471468 IP (tos 0x0, ttl 64, id 3064, offset 0, flags [DF], proto TCP (6), length 52)    10.130.2.77.38710 > 10.1.2.148.80: Flags [.], cksum 0x198a (incorrect -> 0x4b37), ack 3610955327, win 58, options [nop,nop,TS val 4051375372 ecr 4142053731], length 016:52:55.471555 IP (tos 0x0, ttl 64, id 3065, offset 0, flags [DF], proto TCP (6), length 776)

最终查询pod ip为：10.130.2.77  -->  10.1.2.148

来源地址：https://blog.csdn.net/sandshell/article/details/125767385