tcpdump常用的选项参数详细总结

　　常用选项通过上述的实战案例，相信大家已经掌握的 tcpdump 基本用法，在这里来详细总结一下常用的选项参数。

　　（一）基础选项

　　-i：指定接口

　　-D：列出可用于抓包的接口

　　-s：指定数据包抓取的长度

　　-c：指定要抓取的数据包的数量

　　-w：将抓包数据保存在文件中

　　-r：从文件中读取数据

　　-C：指定文件大小，与 -w 配合使用

　　-F：从文件中读取抓包的表达式

　　-n：不解析主机和端口号，这个参数很重要，一般都需要加上

　　-P：指定要抓取的包是流入还是流出的包，可以指定的值 in、out、inout

　　（二）输出选项

　　-e：输出信息中包含数据链路层头部信息

　　-t：显示时间戳，tttt 显示更详细的时间

　　-X：显示十六进制格式

　　-v：显示详细的报文信息，尝试 -vvv，v 越多显示越详细

　　过滤表达式

       tcpdump 强大的功能和灵活的策略，主要体现在过滤器（BPF）强大的表达式组合能力。

　　（一）操作对象

　　表达式中可以操作的对象有如下几种：

　　type，表示对象的类型，比如：host、net、port、portrange，如果不指定 type 的话，默认是 host

　　dir：表示传输的方向，可取的方式为：src、dst。

　　proto：表示协议，可选的协议有：ether、ip、ip6、arp、icmp、tcp、udp。

　　（二）条件组合

　　表达对象之间还可以通过关键字 and、or、not 进行连接，组成功能更强大的表达式。

　　or：表示或操作

　　and：表示与操作

　　not：表示非操作

　　建议看到这里后，再回头去看实战篇章的示例，相信必定会有更深的理解。如果是这样，那就达到了我预期的效果了！

　　到这里就不再加新知识点了，分享一些工作中总结的经验：

　　1. 我们要知道 tcpdump 不是万能药，并不能解决所有的网络问题。

　　2. 在高流量场景下，抓包可能会影响系统性能，如果是在生产环境，请谨慎使用！

　　3. 在高流量场景下，tcpdump 并不适合做流量统计，如果需要，可以使用交换机镜像的方式去分析统计。

　　4. 在 Linux 上使用 tcpdump 抓包，结合 wireshark 工具进行数据分析，能事半功倍。

　　5. 抓包时，尽可能不要使用 any 接口来抓包。

　　6. 抓包时，尽可能指定详细的数据包过滤表达式，减少无用数据包的拷贝。

　　7. 抓包时，尽量指定 -n 选项，减少解析主机和端口带来的性能开销。