常用選項(xiàng)通過上述的實(shí)戰(zhàn)案例，相信大家已經(jīng)掌握的 tcpdump 基本用法，在這里來詳細(xì)總結(jié)一下常用的選項(xiàng)參數(shù)。

（一）基礎(chǔ)選項(xiàng)

-i：指定接口

-D：列出可用于抓包的接口

-s：指定數(shù)據(jù)包抓取的長度

-c：指定要抓取的數(shù)據(jù)包的數(shù)量

-w：將抓包數(shù)據(jù)保存在文件中

-r：從文件中讀取數(shù)據(jù)

-C：指定文件大小，與 -w 配合使用

-F：從文件中讀取抓包的表達(dá)式

-n：不解析主機(jī)和端口號，這個(gè)參數(shù)很重要，一般都需要加上

-P：指定要抓取的包是流入還是流出的包，可以指定的值 in、out、inout

（二）輸出選項(xiàng)

-e：輸出信息中包含數(shù)據(jù)鏈路層頭部信息

-t：顯示時(shí)間戳，tttt 顯示更詳細(xì)的時(shí)間

-X：顯示十六進(jìn)制格式

-v：顯示詳細(xì)的報(bào)文信息，嘗試 -vvv，v 越多顯示越詳細(xì)

過濾表達(dá)式

tcpdump 強(qiáng)大的功能和靈活的策略，主要體現(xiàn)在過濾器（BPF）強(qiáng)大的表達(dá)式組合能力。

（一）操作對象

表達(dá)式中可以操作的對象有如下幾種：

type，表示對象的類型，比如：host、net、port、portrange，如果不指定 type 的話，默認(rèn)是 host

dir：表示傳輸?shù)姆较颍扇〉姆绞綖椋簊rc、dst。

proto：表示協(xié)議，可選的協(xié)議有：ether、ip、ip6、arp、icmp、tcp、udp。

（二）條件組合

表達(dá)對象之間還可以通過關(guān)鍵字 and、or、not 進(jìn)行連接，組成功能更強(qiáng)大的表達(dá)式。

or：表示或操作

and：表示與操作

not：表示非操作

建議看到這里后，再回頭去看實(shí)戰(zhàn)篇章的示例，相信必定會有更深的理解。如果是這樣，那就達(dá)到了我預(yù)期的效果了！

到這里就不再加新知識點(diǎn)了，分享一些工作中總結(jié)的經(jīng)驗(yàn)：

1. 我們要知道 tcpdump 不是萬能藥，并不能解決所有的網(wǎng)絡(luò)問題。

2. 在高流量場景下，抓包可能會影響系統(tǒng)性能，如果是在生產(chǎn)環(huán)境，請謹(jǐn)慎使用！

3. 在高流量場景下，tcpdump 并不適合做流量統(tǒng)計(jì)，如果需要，可以使用交換機(jī)鏡像的方式去分析統(tǒng)計(jì)。

4. 在 Linux 上使用 tcpdump 抓包，結(jié)合 wireshark 工具進(jìn)行數(shù)據(jù)分析，能事半功倍。

5. 抓包時(shí)，盡可能不要使用 any 接口來抓包。

6. 抓包時(shí)，盡可能指定詳細(xì)的數(shù)據(jù)包過濾表達(dá)式，減少無用數(shù)據(jù)包的拷貝。

7. 抓包時(shí)，盡量指定 -n 選項(xiàng)，減少解析主機(jī)和端口帶來的性能開銷。