linux之tcpdump的用法

付宇利2023-10-18 15:52

linux之tcpdump的用法

用法简介

tcpdump是一个命令行网络抓包工具,其命令格式为:

tcpdump[ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ]

以下是一些关键选项的说明:

-a:将网络地址和广播地址转变成名字。

-d:将匹配信息包的代码以人们能够理解的汇编格式给出。

-dd:将匹配信息包的代码以c语言程序段的格式给出。

-ddd:将匹配信息包的代码以十进制的形式给出。

-e:在输出行打印出数据链路层的头部信息。

-f:将外部的Internet地址以数字的形式打印出来。

-l:使标准输出变为缓冲行形式。

-n:不把网络地址转换成名字。

-t:在输出的每一行不打印时间戳。

-v:输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息。

-vv:输出更详细的调试信息。

应用举例

1)捕获网络数据包

bash 复制代码 
tcpdump -i <interface>

其中是网络接口,例如eth0或wlan0。这将捕获指定接口上所有的网络数据包。

2)按照协议过滤

bash 复制代码 
tcpdump -i <interface> <protocol>

指定要捕获的协议,例如ip、tcp、udp等。例如,捕获IP数据包:tcpdump -i eth0 ip。

3)按照端口过滤

bash 复制代码 
tcpdump -i <interface> port <port>

其中是要监听的端口号。例如,捕获TCP端口80的数据包:tcpdump -i eth0 tcp port 80。
4)按照IP地址过滤

bash 复制代码 
tcpdump -i <interface> host <ip_address>

其中<ip_address>是要监听的IP地址。例如,捕获源或目标为192.168.1.1的数据包:tcpdump -i eth0 host 192.168.1.1。

5)按照网络段过滤

bash 复制代码 
tcpdump -i <interface> net <network_address>

其中<network_address>是要监听的网络地址。例如,捕获属于192.168.1.0/24网络段的所有数据包:tcpdump -i eth0 net 192.168.1.0/24。

6)保存捕获到的数据包到文件

bash 复制代码 
tcpdump -i <interface> -w <output_file.pcap>

这将把捕获到的数据包保存到指定的pcap文件,以便后续分析或共享。

7)从文件中读取数据包

bash 复制代码 
tcpdump -r <input_file.pcap>

使用此命令可以从pcap文件中读取并显示数据包。

8)显示数据包的详细信息

bash 复制代码 
tcpdump -i <interface> -v

使用此命令可以显示数据包的详细信息,包括协议、源/目标IP地址、端口等。增加-v参数可以提供更详细的输出。

9) 以十六进制格式显示数据包

bash 复制代码 
tcpdump -i <interface> -X

使用此命令将以十六进制格式显示数据包的完整内容,以及它们的ASCII解码。

10) 实时数据流分析

bash 复制代码 
tcpdump -i <interface> -n -q -s 0 -t "%m"

此命令将实时分析网络接口上的数据流,并显示每个数据包的摘要信息,包括源/目标IP地址、协议类型、端口等。使用-n参数不进行名称解析,-q参数只显示摘要信息,-s 0表示捕获完整数据包,-t参数用于添加时间戳。

11)以十六进制和ASCII显示捕获的数据包

bash 复制代码 
tcpdump -XX -i eth0

此命令将以十六进制和ASCII格式显示从eth0接口捕获的所有数据包。

12)捕获数据包并将其保存在文件中

bash 复制代码 
tcpdump -w test.pcap -i eth0

此命令将捕获从eth0接口发送的所有数据包,并将其保存在名为test.pcap的文件中。

13)从文件中读取捕获的数据包

bash 复制代码 
tcpdump -r test.pcap -n -i eth0

此命令将从名为test.pcap的文件中读取以前捕获的数据包,并在屏幕上以常规格式显示它们。

14)仅捕获TCP数据包

bash 复制代码 
tcpdump -i eth0 tcp

此命令将仅捕获从eth0接口发送的所有TCP数据包。

15)捕获特定源端口或目的端口的TCP数据包

bash 复制代码 
tcpdump -i eth0 src port 80 or dst port 22

此命令将捕获从eth0接口发送的源端口为80或目的端口为22的所有TCP数据包。

16)捕获特定源端口和目的端口的TCP数据包

bash 复制代码 
tcpdump -i eth0 src port 80 and dst port 6100

此命令将捕获从eth0接口发送的源端口为80且目的端口为6100的所有TCP数据包。注意,"and"和"or"是逻辑运算符,用于组合多个条件。

17)捕获所有ICMP数据包

bash 复制代码 
tcpdump -i eth0 icmp

此命令将捕获从eth0接口发送的所有ICMP数据包。

相关推荐
优美的赫蒂19 小时前
香橙派5plus单独编译内核安装时的报错记录
linux·rk3588·orangepi
·醉挽清风·19 小时前
学习笔记—Linux—文件系统
linux·笔记·学习
IMPYLH19 小时前
Linux 的 chmod 命令
linux·运维·服务器
迷茫青年19 小时前
带你进入linux的世界,linux基础知识讲解
linux
taxunjishu20 小时前
半导体晶圆制造车间 SITRANS P 仪表与 V90 伺服系统精密控制应用
网络·物联网·自动化
艾莉丝努力练剑20 小时前
【MYSQL】MYSQL学习的一大重点:数据库基础
linux·运维·服务器·数据库·c++·学习·mysql
雷帝木木20 小时前
Flutter for OpenHarmony:Flutter 三方库 cbor 构建 IoT 设备的极致压缩防窃协议(基于标准二进制 JSON 表达格式)
网络·物联网·flutter·http·json·harmonyos·鸿蒙
会喷火才能叫火山20 小时前
本地搭建AI相关步骤
linux·运维·ai·centos
齐齐大魔王20 小时前
虚拟机网络无法连接
linux·网络·c++·python·ubuntu
_OP_CHEN20 小时前
【MySQL数据库基础】(六)MySQL 表的约束详解:从基础到实战,拿捏数据合法性!
linux·数据库·mysql·c/c++·表约束·mysql表
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04UV安装并设置国内源05AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07OpenClaw Control UI安全上下文访问配置08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10OpenClaw macOS 完整安装与本地模型配置教程(实战版)