Linux系统命令行抓包

Linux系统命令行抓包

1、操作步骤：

1、安装 tcpdump：您可以使用以下命令在 Ubuntu 上安装 tcpdump：

sudo apt-get install tcpdump

2、开始抓包：在命令行终端中输入以下命令开始抓取网络数据包。以下命令将抓取来自 eth0 网络接口的前 1000 个数据包：

sudo tcpdump -i eth0 -c 1000

如果您需要捕获特定协议的数据包，可以使用以下命令：

sudo tcpdump -i eth0 -c 1000 icmp

2、具体参数详解：

tcpdump是一个常用的网络抓包工具，可以捕获网络接口上的数据包，并将其解析成可读性更高的格式。tcpdump 有许多选项可以用于过滤数据包、指定捕获的网络接口、设置捕获时的缓存大小等等。以下是一些常用的 tcpdump 选项和用法示例：

• -i <interface>：指定要抓取的网络接口。例如，-i eth0 用于抓取 eth0 网络接口上的数据包。
• -n：禁用 DNS 解析，用 IP 地址代替主机名显示。
• -c <count>：抓取指定数量的数据包后停止。例如，-c 10 用于抓取 10 个数据包后停止抓包。
• -w <filename>：将抓取的数据包保存为文件。例如，-w packets.pcap 用于将抓取的数据包保存到名为 packets.pcap 的文件中。
• -r <filename>：从指定的文件中读取数据包信息。例如，-r packets.pcap 用于读取名为 packets.pcap 的文件中的数据包。

以下是一个 tcpdump 的示例命令：

sudo tcpdump -i eth0 -n -c 10 -w packets.pcap icmp

解释：该命令会在 eth0 网络接口上抓取 10 个 ICMP 数据包，并将其保存到 packets.pcap 文件中。在使用 tcpdump 进行网络分析时，需要谨慎选择抓取的数据包类型和数量，以免给网络带来过大的负担。

tcpdump -i any -w 20230613.cap

解释：用于在命令行嗅探网络数据包。-i选项用于指定需要监听的网络接口，这里的any表示监听所有的网络接口。-w选项用于指定输出文件的文件名和路径，这里的20230613.cap表示输出文件名为20230613.cap，它将在当前目录下创建并保存捕获的数据包。因此，整个命令tcpdump -i any -w 20230613.cap的作用是在当前系统上监听所有的网络接口，并将所捕获的数据包保存到当前目录下的20230613.cap文件中。