Linux网络抓包工具tcpdump是如何实现抓包的，在哪个位置抓包的？

随着G行架构从集中式体系向分布式式体系转型，行内系统服务快速增多，不同的服务短期内需要在集中式体系、分布式体系之间互相调用，调用链复杂，网络通讯相关问题时有发生。系统管理员在排查网络问题时就用到一款网络抓包工具tcpdump,该工具可以将网络中传送的数据包完全截获下来进行分析，能有效的排查复杂环境的网络问题。本文将从原理的角度分析tcpdump在Linux系统的实现。

主要是希望能够分析实现原理，以协助判断tcpdump抓的是网卡的包，还是经过内核处理后的包？对于分析服务器处理网络包过程有很大帮助。

---

1. tcpdump抓包架构

tcpdump由C语言开发，主要功能通过libpcap库实现，而libpcap是linux平台下的一个网络数据包捕获功能包, 通过内核BPF技术实现数据过滤功能。tcpdump使用BPF虚拟机的指令集定义过滤器表达式，然后传递给内核，并由解释器执行，这使得包过滤可以在内核中进行，避免了向用户态进程复制全部数据包，从而提升数据包的过滤性能。tcpdump将包过滤指令注入到内核，返回按条件过滤的数据包，提供多种输出功能将抓取的报文格式化处理能力。

tcpdump的包过滤指令由BPF代码实现，通过对libpcap库的调用可以把一个输入输出的逻辑表达式变为BPF代码，实现在用户输入的命令行和BPF代码之间的转换。tcpdump 程序支持使用 -d参数来 dump 出过滤规则转化后的BPF指令字节码。

2. BPF介绍

BPF（Berkeley Packet Filter ），中文翻译为伯克利包过滤器，是类 Unix 系统上数据链路层的一种原始接口，提供一种网络数据包过滤方法。随着技术的发展，人们在BPF的基础上又提出了eBPF（extended BPF）。经过重新设计，eBPF 演进为一个通用执行引擎，在不更改内核代码的前提下，实时获取和修改操作系统的行为，可基于此开发性能分析工具、软件定义网络等诸多场景,而原来的BPF则称为cBPF（classic BPF）。

现在，Linux 内核只运行eBPF，内核会将加载的cBPF字节码透明地转换成 eBPF再执行。eBPF新的设计针对现代硬件进行了优化，eBPF 生成的指令集比旧的 BPF 解释器生成的机器码执行得更快。扩展版本也增加了虚拟机中的寄存器数量，将原有的2个32位