作為測試人員因為要分析定位問題，總是不可避免的需要使用各種抓包工具，所以市面上的抓包工具也非常多：比如代理型的抓包工具 fiddler 和 Charles，比如功能強大的 Burpsuite，也有瀏覽器自帶的 F12，還有專注于網(wǎng)絡協(xié)議報文的 wireshark 等等。

這些工具各有所長，但是他們都有一個共同的特點，就是都有圖形化界面可操作，使用相對來說都還比較簡單。那么，如果在 Linux 操作系統(tǒng)的命令行模式下，沒有圖形化界面的時候，我們想要抓包，該怎么辦呢？

所有，今天我就給大家介紹一款非常好用的 Linux 命令行的抓包神器：tcpdump，一款可以根據(jù)使用者的定義對網(wǎng)絡上的數(shù)據(jù)包進行截獲的包分析工具。

要靈活使用 tcpdump 工具必須要有兩個必備的知識基礎：
第一：Linux 操作系統(tǒng)：因為這是一款基于 Linux 系統(tǒng)下命令行的抓包工具，所以需要對 Linux 的基本操作和常用命令有一定的基礎；
第二：網(wǎng)絡知識：因為 tcpdump 是將網(wǎng)絡中傳送的數(shù)據(jù)包完整的截獲下來然后進行分析，所以想要分析捕獲到的報文，需要了解 OSI 七層網(wǎng)絡模型，以及常用網(wǎng)絡協(xié)議等。

tcpdump 這個工具有非常豐富的參數(shù)，可以提供不同的功能，滿足多樣的抓包需求。

不加任何參數(shù)

tcpdump

默認輸入 tcpdump 這個命令，回車操作之后，它將監(jiān)視第一個網(wǎng)絡接口上所有流過的數(shù)據(jù)包，一般是 eth0，如下圖所示：

監(jiān)視指定網(wǎng)絡接口的數(shù)據(jù)包

tcpdump -iIo

一般情況下，我們可能關心的數(shù)據(jù)并不是 eth0 的接口，這時就需要指定端口進行數(shù)據(jù)包的捕獲。在 tcpdump 后面加一個 -i 的參數(shù)，后面跟具體需要捕獲的接口名稱，就可以抓取經(jīng)過這個具體接口的所有數(shù)據(jù)包?！?br/>

監(jiān)視指定主機的數(shù)據(jù)包

tcpdump host 175.8.50.137

如果你非常明確關心的是哪個主機的收發(fā)報文，那么就可以直接過濾這個主機的數(shù)據(jù)包。host 后面加主機的 IP 地址，就可以只抓取這個主機的所有數(shù)據(jù)包，其他主機的數(shù)據(jù)包就會被過濾掉。

如果需要捕獲該主機與特定某主機的交互數(shù)據(jù)包，可以用邏輯運算符來表示：tcpdump host 175.8.50.137 and 100.27.48.1這就表示只有主機 175.8.50.137 和 主機 100.27.48.1 的交互數(shù)據(jù)報文才會被捕獲到。

監(jiān)視指定協(xié)議和端口的數(shù)據(jù)包

tcpdump tcp port 22

加上具體某個協(xié)議的某個端口，就可以更加精確的捕獲對應的業(yè)務的數(shù)據(jù)報文了。如上，就會只抓取 TCP 協(xié)議的 22 端口的數(shù)據(jù)報，也就是 SSH 協(xié)議的數(shù)據(jù)報文：

顯示協(xié)議頭和包內容

tcpdump -X

加-X 參數(shù)，可以把協(xié)議頭和包內容都原原本本的顯示出來（tcpdump 會以 16 進制和 ASCII 的形式顯示），這在進行協(xié)議分析時是絕對的利器。

控制捕獲的數(shù)據(jù)包數(shù)量

tcpdump -c xxx

-c 參數(shù)，即 Count 的含義，設置希望 tcpdump 幫我們抓幾個包。如下圖，將最多捕獲 9600 個包：

保存捕獲到的數(shù)據(jù)包

tcpdump -w xxx

參數(shù)-w 直接將包寫入文件中，存儲到磁盤上，為后續(xù)使用。如下圖所示，就是將捕獲到的數(shù)據(jù)保存到 test.cap 的文件里：

停止抓包后，就可在當前目錄下看到保存的文件：

當然，這個保存的保存可以通過 xftp 傳出到本地，然后用 wireshark 工具可以打開，進行更加直觀的分析：

將流量進行回放

tcpdump -r xxx

參數(shù)-r 可以實現(xiàn)“流量回放”的功能，就是把歷史上的某一時間段的流量，重新模擬回放出來，用于流量分析。比如下圖所示：就是將上面捕獲保存的流量包 test.cap 進行回放：

如果公司的服務在 Unix 類的系統(tǒng)里操作比較多，那么作為測試必然要經(jīng)常使用命令行，也就必然要去分析一些 Linux 下的數(shù)據(jù)報文，定位問題和 bug，所以 tcpdump 這個工具就自然顯示出其用武之地了，功能非常強大，可以有輔助測試工作的進行！
說明：本文為檸檬班Tricy老師原創(chuàng)，轉載需注明出處！