点击上方蓝色字关注我们~

面试官

你说你会网络编程？你说你熟悉网络知识，那你使用过tcpdump吗？能给我讲下tcpdump是什么，或者你有用过tcpdump解决过实际问题吗？

如果你学过网络，甚至搞过网络编程，或者在分析网络情况等，那么对当前网络请求进行抓包诊断分析十分重要，可以帮助你理解网络的交互方式，特别是网络协议的原理，可以帮你更加好的理解tcp等原理和牢固的掌握。

掌握这项技能，对你是非常有帮助的！

PART

1

Linux抓包原理

Linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文(准确的说是网络设备)消息的处理权。

当网卡接收到一个网络报文之后，它会遍历系统中所有已经注册的网络协议，例如以太网协议、x25协议处理模块来尝试进行报文的解析处理，这一点和一些文件系统的挂载相似，就是让系统中所有的已经注册的文件系统来进行尝试挂载，如果哪一个认为自己可以处理，那么就完成挂载。

当抓包模块把自己伪装成一个网络协议的时候，系统在收到报文的时候就会给这个伪协议一次机会，让它来对网卡收到的报文进行一次处理，此时该模块就会趁机对报文进行窥探，也就是把这个报文完完整整的复制一份，假装是自己接收到的报文，汇报给抓包模块。

PART

2

tcpdump介绍

tcpdump是Linux系统下的一款抓包命令集，工作原理是基于网卡抓取流动在网卡上的数据包。

在Linux系统中由于tcpdump命令的简单和强大，我们一般直接使用tcpdump命令来抓取数据包。

保存之后，拖下来在wireshark中分析。一般会在图形化界面的Linux(Ubuntu、CentOS等)上使用wireshark进行分析,也可以在Windows(Windows wireshark基于winpcap处理网络驱动层)上分析。

默认情况下，tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定，对于报文，即使是目的地是本机，也需要经过本机的网络协议层，所以本机通讯肯定是通过API进入了内核，并且完成了路由选择。

如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言说就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的。

一般而言，Unix不会让普通用户设置混杂模式，因为这样可以看到别人的信息，比如telnet的用户名和密码，这样会引起一些安全上的问题，所以只有root用户可以开启混杂模式，开启混杂模式的命令是：ifconfig en0 promisc, en0是你要打开混杂模式的网卡。(ifconfig ens32 -promisc关闭)

用简单的话来定义tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

PART

3

tcpdump使用

1、Linux安装tcpdump(一般Linux默认会有安装)

# tcpdump -h

没有安装，那么使用yum进行安装

# yum -y install tcpdump

安装完成：

2、tcpdump语法参数解释

[root@verysu ~]# 

选项：

-A：以ASCII编码打印每个报文(不包括链路层的头)，这对分析网页来说很方便；

3、tcpdump实战

1、直接启动tcpdump，将监视第一个网络接口(eth0)上所有流过的数据包。

# tcpdump // (第一个网卡)等价于 tcpdump -i:eth0

也可以使用参数启动指定网卡：-i eth0//抓取通过eth0网卡的数据包，信息实时打印在屏幕上。-i表示指定哪个网卡接口，后面跟网卡名字，比如eth0或者lo

可以看到tcp协议的相关数据：seq、ack、win、length等。

2、监视指定主机的数据包

比如：监视Google，此时需要在主机上请求www.google.com地址，才能监测到网络数据包，进而被tcpdump抓取。

抓取该网卡eth0和www.google.com地址会话的数据包，实时打印在屏幕上，host后面跟IP地址或者域名。

# tcpdump -i eth0 host www.google.com

第一项是时间，如果命令加上-tttt参数，那么会显示年月日，但是大多数情况下用不到这个参数。

第二项是IP地址，我没有加-nn参数，所以这里服务器ip地址和服务器端口号被域名解析成了verysu.53310等，箭头是指数据发送方向。

第三项Flags，seq，ack等，是TCP协议的三次握手标识。

3、监视其它指定主机等使用方式的数据包

// 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信

注意：如果通信进程都处于同一个主机上，无论IP地址是任何地址，其数据都是只经过lo，不会经过其他的网卡。

4、保存抓包数据

tcpdump 

保存好抓包数据，之后可以使用wireshark进行分析了。

---

后台回复“加群”，带你进入高手如云交流群

推荐阅读：

HTTP/3 原理实战

Linux 下10个帮助你调试的命令

Nginx为什么快到根本停不下来？

OVS 和 OVS-DPDK 对比

微软出品的最新K8S学习指南3.0下载

了解HTTPS工作原理，看这一篇就够了

值得收藏的14个Linux下CPU监控工具

Linux 硬盘结构长啥样，了解一下

谨慎使用的 Linux 命令

史上最硬核的Linux依赖问题解决方案

一文搞懂HTTP+TCP的长连接和短连接

正确理解CPU使用率和平均负载的关系

和面试官之间关于操作系统的一场对弈

Linux 系统 UDP 丢包问题分析思路

---

▼喜欢，就给我一个“在看”

---

10T 技术资源大放送！包括但不限于：云计算、虚拟化、微服务、大数据、网络、Linux、Docker、Kubernetes、Python、Go、C/C++、Shell、PPT 等。在公众号内回复「1024」，即可免费获取！！