Linux tcpdump 命令使用详解_tcpdump -nni

一、介绍

在日常工作中，我们总是能遇上各种各样奇怪的网络问题，比如我这台机器怎么 ping 不通了，我的 ssh 怎么又连不上了，这个控制台怎么又访问不了了等等各种网络问题，当然有时候可以通过 ping、telnet、arp 这些命令和工具来排查和解决，但这些都比不上去抓个包来得实在，也就是下面要分享的 tcpdump 命令。

tcpdump 是 Linux 系统中最有效的网络工具之一，凡是有网络问题十有八九都可以用它快速定位。它运行在用户态，本质是通过调用 libpcap 库的各种 api 来实现数据包的抓取功能。tcpdump 是非常强大的，并且相较其他的 Linux 命令和工具而且要稍微复杂一些，我们没必要完全掌握它，关键是灵活运用，能解决实际问题就好了。

二、基础用法

1、监听网卡 eth0，这个方式最简单了，但是用处不多，因为基本上只能看到数据包的信息刷屏，压根看不清，可以使用 ctrl+c 中断退出，如果真有需求，可以将输出内容重定向到一个文件，这样也更方便查看。

[root@benarchen ~]# tcpdump -i eth0      #如果直接使用 tcpdump 一般是抓取除 lo 外的第一张网卡
1

2、监听指定的主机的流量，抓包时指定 -nn 选项，不解析主机和端口名。这个参数很关键，会影响抓包的性能，一般抓包时都需要指定该选项。

[root@benarchen ~]# tcpdump -i eth0 -nn 'host 192.168.1.231'
这样的话，192.168.1.231 这台主机接收到的包和发送的包都会被抓取。
[root@benarchen ~]# tcpdump -i eth0 -nn 'src host 192.168.1.231'
这样只有 192.168.1.231 这台主机发送的包才会被抓取。
[root@benarchen ~]# tcpdump -i eth0 -nn 'dst host 192.1
1
2
3
4