tcpdump 的用法

tcpdump 是一款强大的命令行网络抓包工具,用于捕获和分析网络流量。以下是其核心用法指南:


一、基础命令格式

bash 复制代码
sudo tcpdump [选项] [过滤表达式]

权限要求 :需 root 权限(使用 sudo


二、常用选项

选项 说明
-i <接口> 指定监听的网络接口(如 eth0, any 表示所有接口)
-n 禁用主机名解析(直接显示 IP 地址)
-nn 禁用主机名和端口号解析(显示原始数值)
-w <文件> 将捕获的流量写入文件(.pcap 格式,可用 Wireshark 分析)
-r <文件> 读取已保存的抓包文件
-c <数量> 捕获指定数量的数据包后自动停止
-s <长度> 设置每个包的捕获长度(如 -s 0 捕获完整数据包)
-v 详细输出(-vv-vvv 显示更详细信息)
-q 简化输出(仅显示基本信息)
-A 以 ASCII 格式显示数据内容(适用于 HTTP/文本协议)
-X 同时以十六进制和 ASCII 格式显示数据

三、过滤表达式

1. 按协议过滤
bash 复制代码
tcpdump tcp        # 仅捕获 TCP 流量
tcpdump udp        # 仅捕获 UDP 流量
tcpdump icmp       # 仅捕获 ICMP 流量
tcpdump arp        # 仅捕获 ARP 流量
2. 按 IP 地址过滤
bash 复制代码
tcpdump host 192.168.1.100       # 捕获与指定主机的所有通信
tcpdump src 10.0.0.1             # 捕获源 IP 为 10.0.0.1 的流量
tcpdump dst 172.16.0.5           # 捕获目的 IP 为 172.16.0.5 的流量
3. 按端口过滤
bash 复制代码
tcpdump port 80                  # 捕获端口 80 的流量(HTTP)
tcpdump src port 22              # 捕获源端口为 22 的流量(SSH)
tcpdump dst port 443             # 捕获目的端口为 443 的流量(HTTPS)
4. 组合条件
bash 复制代码
tcpdump 'tcp and port 80 and host 192.168.1.1'  # 捕获指定主机的 TCP 80 端口流量
tcpdump 'udp and (port 53 or port 67)'          # 捕获 DNS 或 DHCP 流量
tcpdump 'icmp and src 10.0.0.5'                 # 捕获来自 10.0.0.5 的 ICMP 包

四、实用示例

1. 捕获所有流量并保存到文件
bash 复制代码
sudo tcpdump -i any -s 0 -w full_traffic.pcap
2. 实时分析 HTTP 请求
bash 复制代码
sudo tcpdump -i eth0 -nnA 'tcp port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420)'

说明:匹配 HTTP GET 请求(十六进制 47455420 对应 "GET ")

3. 捕获 DNS 查询
bash 复制代码
sudo tcpdump -i eth0 -nn 'udp port 53'
4. 分析 SSH 连接
bash 复制代码
sudo tcpdump -i eth0 'tcp port 22 and (tcp[tcpflags] & (tcp-syn|tcp-ack) != 0)'
5. 读取抓包文件
bash 复制代码
tcpdump -r full_traffic.pcap -nn 'icmp'

五、输出解读

  • 时间戳 :如 12:34:56.789012 表示捕获时间
  • 协议类型 :如 IPTCPUDP
  • 源和目的地址 :格式 源IP.端口 > 目的IP.端口
  • 标志位 :如 [S](SYN)、[.](ACK)、[P](PSH)、[F](FIN)
  • 数据包长度 :如 length 60 表示包大小(字节)

六、高级技巧

  1. 排除特定流量

    bash 复制代码
    tcpdump 'not port 22'     # 不捕获 SSH 流量
  2. 按包大小过滤

    bash 复制代码
    tcpdump 'greater 1000'    # 捕获大于 1000 字节的包
  3. 显示 MAC 地址

    bash 复制代码
    tcpdump -e                # 显示源/目的 MAC 地址

七、注意事项

  • 避免在生产环境长时间抓包(可能生成大文件)
  • 使用 -w 保存文件后,可用 Wireshark 图形化分析
  • 敏感信息(如密码)可能以明文传输,抓包需谨慎

通过 man tcpdump 可查看完整手册。

相关推荐
hashiqimiya20 分钟前
配置tcp的https协议证书
网络·tcp/ip·https
向宇it1 小时前
【unity游戏开发——网络】网络游戏通信方案——强联网游戏(Socket长连接)、 弱联网游戏(HTTP短连接)
网络·http·游戏·unity·c#·编辑器·游戏引擎
怦然星动_1 小时前
业务二层隔离-vlan技术
网络
Mr_Xuhhh1 小时前
网络基础(1)
c语言·开发语言·网络·c++·qt·算法
WooaiJava1 小时前
多个参数用websocket 向io 服务器发送变量,一次发一个,并接收响应
网络·websocket·网络协议
草履虫建模1 小时前
Postman - API 调试与开发工具 - 标准使用流程
java·测试工具·spring·json·测试用例·postman·集成学习
醇醛酸醚酮酯2 小时前
std::promise和std::future的使用示例——单线程多链接、多线程单链接
网络·c++·算法
Net_Walke2 小时前
【网络协议】WebSocket简介
网络·websocket·网络协议
xkroy4 小时前
网络协议概念与应用层
网络
筏.k4 小时前
C++ 网络编程(14) asio多线程模型IOThreadPool
网络·c++·架构