详解tcpdump

tcpdump 是一个强大的命令行网络分析工具,用于抓取和分析网络流量。下面是 tcpdump 的常用参数及其详细说明,包含抓取所有网络接口的方法和 -S 参数的作用。

基础参数

  1. -i <interface>

    指定要监听的网络接口。如果你希望抓取所有接口的流量,可以使用 -i any

    复制代码
    sudo tcpdump -i any
    • any 表示抓取所有可用接口的流量。

    • 示例 :监控特定接口 eth0

      复制代码
      sudo tcpdump -i eth0
  2. -c <count>

    指定抓取的数据包数量,达到指定数量后自动停止抓取。

    复制代码
    sudo tcpdump -c 10
    • 示例 :只抓取 5 个数据包:

      复制代码
      sudo tcpdump -i eth0 -c 5
  3. -w <file>

    将抓取到的数据包保存到指定文件中,通常为 .pcap 格式,便于后续分析。

    复制代码
    sudo tcpdump -i eth0 -w capture.pcap
    • 示例 :保存数据包到 capture.pcap 文件中:

      复制代码
      sudo tcpdump -i eth0 -c 100 -w capture.pcap
  4. -r <file>

    从已保存的 .pcap 文件读取数据包并显示其内容。

    复制代码
    tcpdump -r capture.pcap
  5. -v, -vv, -vvv

    增加输出的详细程度。使用 -v 会提供更多的信息,-vv-vvv 进一步增加输出的详细程度。

    复制代码
    sudo tcpdump -i eth0 -v
  6. -n

    禁止将 IP 地址解析为域名,直接显示 IP 地址,以减少 DNS 解析带来的延迟。

    复制代码
    sudo tcpdump -i eth0 -n
  7. -nn

    禁止将 IP 地址解析为域名和将端口解析为服务名,所有信息均以数字形式显示。

    复制代码
    sudo tcpdump -i eth0 -nn
  8. -A

    以 ASCII 格式显示数据包的内容,适合查看基于文本协议(如 HTTP)的流量。

    复制代码
    sudo tcpdump -i eth0 -A
  9. -X

    以十六进制和 ASCII 格式显示数据包的内容,适合深入分析数据包。

    复制代码
    sudo tcpdump -i eth0 -X
  10. -s <snaplen>

    指定抓取数据包的长度。默认长度为 68 字节,使用 -s 0 可以捕获完整数据包。

    复制代码
    sudo tcpdump -s 0
  11. -S

    显示绝对序列号,而不是相对序列号。这在分析 TCP 流量时非常有用,因为可以更清楚地看到数据流的绝对序列号。

    复制代码
    sudo tcpdump -i eth0 -S

高级过滤器

  1. 指定协议

    过滤特定协议的数据包。

    • 抓取 TCP 数据包

      复制代码
      sudo tcpdump -i eth0 tcp
    • 抓取 UDP 数据包

      复制代码
      sudo tcpdump -i eth0 udp
  2. 指定端口

    使用端口号过滤数据包。

    • 抓取 HTTP 流量(80 端口)

      复制代码
      sudo tcpdump -i eth0 port 80
    • 抓取多个端口(如 80 和 443)的数据包

      复制代码
      sudo tcpdump -i eth0 port 80 or port 443
  3. 指定 IP 地址

    使用 hostsrcdst 过滤基于 IP 地址的数据包。

    • 抓取特定 IP 地址的数据包

      复制代码
      sudo tcpdump -i eth0 host 192.168.1.100
    • 抓取源 IP 为 192.168.1.100 的数据包

      复制代码
      sudo tcpdump -i eth0 src 192.168.1.100
    • 抓取目标 IP 为 192.168.1.100 的数据包

      复制代码
      sudo tcpdump -i eth0 dst 192.168.1.100
  4. 逻辑运算符

    结合多个过滤条件使用 andornot 进行复杂过滤。

    • 抓取 TCP 协议并且源 IP 为 192.168.1.100 的数据包

      复制代码
      sudo tcpdump -i eth0 tcp and src 192.168.1.100
    • 抓取源 IP 不是 192.168.1.100 的数据包

      复制代码
      sudo tcpdump -i eth0 not src 192.168.1.100

抓取 HTTPS 流量

如果想抓取 HTTPS 流量(通常基于 TCP 443 端口),可以使用以下命令:

复制代码
sudo tcpdump -i eth0 port 443

注意:HTTPS 流量是加密的,无法直接查看内容。

示例

  1. 抓取所有接口的流量

    复制代码
    sudo tcpdump -i any
  2. 抓取所有来自 192.168.1.100 的 TCP 数据包

    复制代码
    sudo tcpdump -i eth0 tcp and src 192.168.1.100
  3. 抓取特定端口(如 80 和 443)的流量

    复制代码
    sudo tcpdump -i eth0 port 80 or port 443
  4. 使用 tcpdump 实时分析 HTTP 请求

    复制代码
    sudo tcpdump -i eth0 -A port 80

总结

tcpdump 是一个功能强大的网络抓包工具,提供了丰富的参数和选项,使得网络流量分析变得灵活高效。了解并熟练使用这些参数可以帮助你有效地抓包和分析网络流量,特别是在调试网络问题和性能瓶颈时。

相关推荐
独立开阀者_FwtCoder9 分钟前
放弃 JSON.parse(JSON.stringify()) 吧!试试现代深拷贝!
前端·javascript·github
尘世闲鱼1 小时前
解数独(C++版本)
开发语言·c++·算法·解数独
张晓~183399481211 小时前
数字人源码部署流程分享--- PC+小程序融合方案
javascript·小程序·矩阵·aigc·文心一言·html5
爱喝水的小周1 小时前
AJAX vs axios vs fetch
前端·javascript·ajax
Jinxiansen02111 小时前
unplugin-vue-components 最佳实践手册
前端·javascript·vue.js
几道之旅1 小时前
介绍electron
前端·javascript·electron
周胡杰1 小时前
鸿蒙arkts使用关系型数据库,使用DB Browser for SQLite连接和查看数据库数据?使用TaskPool进行频繁数据库操作
前端·数据库·华为·harmonyos·鸿蒙·鸿蒙系统
31535669131 小时前
ClipReader:一个剪贴板英语单词阅读器
前端·后端
玲小珑1 小时前
Next.js 教程系列(十一)数据缓存策略与 Next.js 运行时
前端·next.js
qiyue772 小时前
AI编程专栏(三)- 实战无手写代码,Monorepo结构框架开发
前端·ai编程