Question

Linux 作为网络操作系统提供基础网络服务，在很多情况下需要一款能够进行网络数据采集和分析的工具。

- 网络应用程序异常崩溃时，需要确认应用程序收发的数据包格式和内容是否符合设计规范。

- 网络应用程序响应慢时，需要确认是否存在网络传输问题或者应用程序对于输入处理慢的情况。

- 用户无法使用网络应用程序时，需要判断是否是网络连通性故障所导致。

- 服务器受到网络攻击时，需要分析攻击包的格式和内容，以便采取针对性的封锁手段。

- 新接入一种非开源软件提供的网络服务时，需要研究其网络通信特点的情况。

基于以上这些场景的需要，Linux 下提供了 tcpdump 这一个非常优秀的网络数据采集工具。用简单的话来定义 tcpdump，就是：dump the traffic on a network，根据使用者的规则定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的系统管理员必备工具，tcpdump 以其强大的功能、灵活的截取策略，成为每个高级系统管理员分析网络、排查问题等所必备的工具之一。tcpdump 提供了源代码、公开的接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。对于 tcpdump 的抓包文件，通常在 Windows 环境下进行分析，此时 Wireshark 会是满足这种需求的最合适软件了。

本章从 tcpdump 的工作原理开始讲解，深入 tcpdump 实战，对 Windows 环境下抓取回环端口的网络数据也进行了简要说明，同时对用 Wireshark 进行问题分析和案例说明。最后，本章指出了一种对 tcpdump 抓包结果进行自动化分析的方法，并进行了案例说明。