linux下一分钟掌握网络抓包（tcpdump）

“tcpdump是网络数据采集分析工具，tcpdump可以将网络中传送的数据包完全截获下来提供分析析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。”

               项目常常会遇到一些设备接入问题、网络请求问题、接口调用问题等等，但是又不知道如何分析具体原因，此时需要借助我们的抓包命令tcpdump进行抓包分析。此邮件列举日常常用的抓包方式、请各位惠存并推广！

一、过滤端口抓包 （应用场景：ncg级联需要抓信令端口7100，ehome设备注册7660）

①、过滤端口（包括tcp&udp）

命令格式：tcpdump  -i 网卡 port  端口 -v  -w  文件保存路径    ----过滤指定网卡指定端口抓包，保存文件到指定路径   （网卡信息通过ifconfig命令获取，如果不清楚可以用-i  any 抓所有网卡）

实战截图：过滤网卡eth0   端口 7660   保存文件到/home/hik/7660.pcap

命令：tcpdump  -i eth0  port  7660  -v  -w  /home/hik/7660.pcap

扩展命令：tcpdump  -i any  port  7660  -v  -w  /home/hik/7660.pcap    不区分哪个网卡，过滤所有网卡抓包   -i  any  （不清楚情况优先用-i any）

②、过滤TCP端口

命令格式：tcpdump  -i 网卡 tcp port  端口 -v  -w  文件保存路径    ----过滤指定网卡指定端口抓包，保存文件到指定路径

实战截图：过滤网卡eth0   tcp端口 7660   保存文件到/home/hik/7660.pcap

命令：tcpdump  -i eth0 tcp port  7660  -v  -w  /home/hik/7660.pcap

扩展命令：tcpdump  -i any  tcp  port  7660  -v  -w  /home/hik/7660.pcap    不区分哪个网卡，过滤所有网卡抓包   -i  any

③、过滤UDP端口

命令格式：tcpdump  -i 网卡 udp port  端口 -v  -w  文件保存路径    ----过滤指定网卡指定端口抓包，保存文件到指定路径

实战截图：过滤网卡eth0   udp端口 7660   保存文件到/home/hik/7660.pcap

命令：tcpdump  -i eth0 udp port  7660  -v  -w  /home/hik/7660.pcap

扩展命令：tcpdump  -i any udp port  7660  -v  -w  /home/hik/7660.pcap    不区分哪个网卡，过滤所有网卡抓包   -i  any

④、过滤端口段抓包

命令格式：tcpdump  -i 网卡 portrange  端口段 -v  -w  文件保存路径    ----过滤指定网卡指定端口抓包，保存文件到指定路径

实战截图：过滤网卡eth0   端口段 27000-28999   保存文件到/home/hik/123.pcap

命令：tcpdump -i eth0  portrange 27000-28999 -v -w /home/hik/123.pcap

扩展命令：tcpdump  -i any portrange 27000-28999 -v -w /home/hik/123.pcap    不区分哪个网卡，过滤所有网卡抓包   -i  any

二、过滤ip抓包 （应用场景：现场已经明确设备ip、或者下级级联ip）

命令格式：tcpdump  -i 网卡 host ip -v  -w  文件保存路径    ----过滤指定网卡指定ip抓包，保存文件到指定路径

实战截图：过滤网卡eth0   ip 192.168.1.100   保存文件到/home/hik/ip100.pcap

命令：tcpdump  -i eth0 host 192.168.1.100  -v  -w  /home/hik/ip100.pcap

扩展命令：tcpdump  -i any host 192.168.1.100  -v  -w  /home/hik/ip100.pcap    不区分哪个网卡，过滤所有网卡抓包   -i  any

三、端口ip组合抓包

命令格式：tcpdump  -i 网卡 host ip or port 端口 -v  -w  文件保存路径    ----过滤指定网卡指定ip或者端口抓包，保存文件到指定路径

实战截图：过滤网卡eth0   ip 192.168.1.100  端口 17000  保存文件到/home/hik/ip_port.pcap

命令：tcpdump  -i eth0 host 192.168.1.100  or  port  17000  -v  -w  /home/hik/ip_port.pcap

扩展命令：tcpdump  -i any host 192.168.1.100  or  port  17000  -v  -w  /home/hik/ip_port.pcap    不区分哪个网卡，过滤所有网卡抓包   -i  any

四、ehome抓包案例分析

①、ehome设备和平台交互问题

可以抓包过滤端口7660分析对应设备注册，上报gps等信令

通过命令：tcpdump -i  eth0  port  7660 -v -w /home/hik/port.pcap