Полезные выражения tcpdump

Когда дело доходит до отладки сетевых проблем в Linux, большинство пользователей ограничиваются базовыми командами вроде ping, netstat или даже curl. Но есть один инструмент, который часто недооценивают, неправильно понимают или вообще игнорируют - tcpdump. Если вы думаете, что tcpdump - это просто сниффер пакетов, вы многое упускаете: у него есть куча мощных функций для анализа сетей.

В этой статье мы пройдёмся по всем возможностям tcpdump: от базовых сценариев, до весьма продвинутых, и достаточно полезных в реальной эксплуатации. И разберёмся, почему эта команда должна быть в арсенале каждого системного администратора, SRE и DevOps-инженера.

Базовые сценарии

tcpdump практически нет равных в применении различных фильтров и выражений. С их помощью можно выцепить именно тот трафик, который вам нужен.

Захват трафика от/к конкретному хосту: 

tcpdump -i eth0 host 192.168.1.100

Захват HTTP-трафика (порт 80): 

tcpdump -i eth0 port 80

Только TCP-трафик: 

tcpdump tcp

Исключить трафик к определённому хосту: 

tcpdump -i eth0 not host 192.168.1.1

Фильтрация по нескольким условиям: 

tcpdump 'src 192.168.1.1 and dst port 22'

Трафик с определёнными флагами TCP (например, SYN и ACK): 

tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'

Только DNS-запросы (а не ответы): 

tcpdump -i eth0 port 53 and '(udp[10] & 0x80) = 0'

ICMP-трафик (например, ping): 

tcpdump icmp

Продвинутые сценарии

Отслеживание потерь пакетов и повторных передач: 

tcpdump 'tcp[13] & 4 != 0'  # TCP RST packets

Это помогает заметить, когда соединения сбрасываются (что может указывать на ошибки или проблемы с тайм-аутами).

Мониторинг DNS-трафика в реальном времени: 

tcpdump -i any port 53 -n

Полезно, если вы хотите выяснить, почему тормозит DNS-резолвинг.

Захват только SSL/TLS-рукопожатия: 

tcpdump -i eth0 port 443 and 'tcp[((tcp[12] & 0xf0) >> 2):1] = 0x16'

Можно использовать, чтобы убедиться, что TLS-установки идут как положено, не копаясь в шифрованных данных.

Просмотр HTTP-заголовков вживую: 

tcpdump -A -s 1024 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

Показывает текстовые данные (например, заголовки запросов и ответов) прямо в терминале. Удобно при отладке веб-приложений.

Фильтрация пакетов больше 512 байт: 

tcpdump 'greater 512'

Так можно отсеять мелкий шум и сосредоточиться на «тяжёлых» пакетах.

Сохраняем и анализируем позже: 

tcpdump -w debug_traffic.pcap -i eth0
# Then:
tcpdump -r debug_traffic.pcap

Примеры из реальной жизни

  • Отладка обрывов соединений
  • Проверка входящих и исходящих DNS- или API-запросов
  • Поиск «шумных» контейнеров или микросервисов
  • Обнаружение подозрительного или несанкционированного трафика
  • Захват только HTTP-заголовков для анализа производительности

Рекомендации по производительности

  • Всегда используйте -s 0, если вам нужны полные пакеты (по умолчанию tcpdump обрезает их).
  • Комбинируйте -w и -c, чтобы ограничить размер файлов и не получить захват на терабайт.
  • Используйте -G и -W для ротации по времени — удобно, как циклический буфер:
tcpdump -i eth0 -w capture-%H%M.pcap -G 60 -W 5

Эта команда будет сохранять трафик кусками по 1 минуте, максимум в 5 файлов, перезаписывая по кругу.

Вывод: не недооценивайте tcpdump

Да, у tcpdump нет графического интерфейса, но по возможностям он не уступает (а иногда и превосходит) многие GUI-инструменты. Его фильтры, живой анализ и минимальная нагрузка делают его отличным инструментом как для продакшн-отладки, так и для изучения работы сетевых протоколов.

Если вы не используете tcpdump на полную - считайте, что смотрите на свою сеть почти вслепую.