常用選項通過上述的實戰(zhàn)案例，相信大家已經(jīng)掌握的 tcpdump 基本用法，在這里來詳細總結(jié)一下常用的選項參數(shù)。

（一）基礎(chǔ)選項

-i：指定接口

-D：列出可用于抓包的接口

-s：指定數(shù)據(jù)包抓取的長度

-c：指定要抓取的數(shù)據(jù)包的數(shù)量

-w：將抓包數(shù)據(jù)保存在文件中

-r：從文件中讀取數(shù)據(jù)

-C：指定文件大小，與 -w 配合使用

-F：從文件中讀取抓包的表達式

-n：不解析主機和端口號，這個參數(shù)很重要，一般都需要加上

-P：指定要抓取的包是流入還是流出的包，可以指定的值 in、out、inout

（二）輸出選項

-e：輸出信息中包含數(shù)據(jù)鏈路層頭部信息

-t：顯示時間戳，tttt 顯示更詳細的時間

-X：顯示十六進制格式

-v：顯示詳細的報文信息，嘗試 -vvv，v 越多顯示越詳細

過濾表達式

tcpdump 強大的功能和靈活的策略，主要體現(xiàn)在過濾器（BPF）強大的表達式組合能力。

（一）操作對象

表達式中可以操作的對象有如下幾種：

type，表示對象的類型，比如：host、net、port、portrange，如果不指定 type 的話，默認是 host

dir：表示傳輸?shù)姆较颍扇〉姆绞綖椋簊rc、dst。

proto：表示協(xié)議，可選的協(xié)議有：ether、ip、ip6、arp、icmp、tcp、udp。

（二）條件組合

表達對象之間還可以通過關(guān)鍵字 and、or、not 進行連接，組成功能更強大的表達式。

or：表示或操作

and：表示與操作

not：表示非操作

建議看到這里后，再回頭去看實戰(zhàn)篇章的示例，相信必定會有更深的理解。如果是這樣，那就達到了我預(yù)期的效果了！

到這里就不再加新知識點了，分享一些工作中總結(jié)的經(jīng)驗：

1. 我們要知道 tcpdump 不是萬能藥，并不能解決所有的網(wǎng)絡(luò)問題。

2. 在高流量場景下，抓包可能會影響系統(tǒng)性能，如果是在生產(chǎn)環(huán)境，請謹慎使用！

3. 在高流量場景下，tcpdump 并不適合做流量統(tǒng)計，如果需要，可以使用交換機鏡像的方式去分析統(tǒng)計。

4. 在 Linux 上使用 tcpdump 抓包，結(jié)合 wireshark 工具進行數(shù)據(jù)分析，能事半功倍。

5. 抓包時，盡可能不要使用 any 接口來抓包。

6. 抓包時，盡可能指定詳細的數(shù)據(jù)包過濾表達式，減少無用數(shù)據(jù)包的拷貝。

7. 抓包時，盡量指定 -n 選項，減少解析主機和端口帶來的性能開銷。