tcpdump
是一个强大的命令行网络分析工具,用于抓取和分析网络流量。下面是 tcpdump
的常用参数及其详细说明,包含抓取所有网络接口的方法和 -S
参数的作用。
基础参数
-
-i <interface>
指定要监听的网络接口。如果你希望抓取所有接口的流量,可以使用
-i any
。sudo tcpdump -i any
-
any
表示抓取所有可用接口的流量。 -
示例 :监控特定接口
eth0
:sudo tcpdump -i eth0
-
-
-c <count>
指定抓取的数据包数量,达到指定数量后自动停止抓取。
sudo tcpdump -c 10
-
示例 :只抓取 5 个数据包:
sudo tcpdump -i eth0 -c 5
-
-
-w <file>
将抓取到的数据包保存到指定文件中,通常为
.pcap
格式,便于后续分析。sudo tcpdump -i eth0 -w capture.pcap
-
示例 :保存数据包到
capture.pcap
文件中:sudo tcpdump -i eth0 -c 100 -w capture.pcap
-
-
-r <file>
从已保存的
.pcap
文件读取数据包并显示其内容。tcpdump -r capture.pcap
-
-v
,-vv
,-vvv
增加输出的详细程度。使用
-v
会提供更多的信息,-vv
和-vvv
进一步增加输出的详细程度。sudo tcpdump -i eth0 -v
-
-n
禁止将 IP 地址解析为域名,直接显示 IP 地址,以减少 DNS 解析带来的延迟。
sudo tcpdump -i eth0 -n
-
-nn
禁止将 IP 地址解析为域名和将端口解析为服务名,所有信息均以数字形式显示。
sudo tcpdump -i eth0 -nn
-
-A
以 ASCII 格式显示数据包的内容,适合查看基于文本协议(如 HTTP)的流量。
sudo tcpdump -i eth0 -A
-
-X
以十六进制和 ASCII 格式显示数据包的内容,适合深入分析数据包。
sudo tcpdump -i eth0 -X
-
-s <snaplen>
指定抓取数据包的长度。默认长度为 68 字节,使用
-s 0
可以捕获完整数据包。sudo tcpdump -s 0
-
-S
显示绝对序列号,而不是相对序列号。这在分析 TCP 流量时非常有用,因为可以更清楚地看到数据流的绝对序列号。
sudo tcpdump -i eth0 -S
高级过滤器
-
指定协议
过滤特定协议的数据包。
-
抓取 TCP 数据包 :
sudo tcpdump -i eth0 tcp
-
抓取 UDP 数据包 :
sudo tcpdump -i eth0 udp
-
-
指定端口
使用端口号过滤数据包。
-
抓取 HTTP 流量(80 端口):
sudo tcpdump -i eth0 port 80
-
抓取多个端口(如 80 和 443)的数据包:
sudo tcpdump -i eth0 port 80 or port 443
-
-
指定 IP 地址
使用
host
、src
或dst
过滤基于 IP 地址的数据包。-
抓取特定 IP 地址的数据包:
sudo tcpdump -i eth0 host 192.168.1.100
-
抓取源 IP 为 192.168.1.100 的数据包:
sudo tcpdump -i eth0 src 192.168.1.100
-
抓取目标 IP 为 192.168.1.100 的数据包:
sudo tcpdump -i eth0 dst 192.168.1.100
-
-
逻辑运算符
结合多个过滤条件使用
and
、or
、not
进行复杂过滤。-
抓取 TCP 协议并且源 IP 为 192.168.1.100 的数据包:
sudo tcpdump -i eth0 tcp and src 192.168.1.100
-
抓取源 IP 不是 192.168.1.100 的数据包:
sudo tcpdump -i eth0 not src 192.168.1.100
-
抓取 HTTPS 流量
如果想抓取 HTTPS 流量(通常基于 TCP 443 端口),可以使用以下命令:
sudo tcpdump -i eth0 port 443
注意:HTTPS 流量是加密的,无法直接查看内容。
示例
-
抓取所有接口的流量:
sudo tcpdump -i any
-
抓取所有来自 192.168.1.100 的 TCP 数据包:
sudo tcpdump -i eth0 tcp and src 192.168.1.100
-
抓取特定端口(如 80 和 443)的流量:
sudo tcpdump -i eth0 port 80 or port 443
-
使用
tcpdump
实时分析 HTTP 请求:sudo tcpdump -i eth0 -A port 80
总结
tcpdump
是一个功能强大的网络抓包工具,提供了丰富的参数和选项,使得网络流量分析变得灵活高效。了解并熟练使用这些参数可以帮助你有效地抓包和分析网络流量,特别是在调试网络问题和性能瓶颈时。