tcpdump 的用法

tcpdump 是一款强大的命令行网络抓包工具,用于捕获和分析网络流量。以下是其核心用法指南:


一、基础命令格式

bash 复制代码
sudo tcpdump [选项] [过滤表达式]

权限要求 :需 root 权限(使用 sudo


二、常用选项

选项 说明
-i <接口> 指定监听的网络接口(如 eth0, any 表示所有接口)
-n 禁用主机名解析(直接显示 IP 地址)
-nn 禁用主机名和端口号解析(显示原始数值)
-w <文件> 将捕获的流量写入文件(.pcap 格式,可用 Wireshark 分析)
-r <文件> 读取已保存的抓包文件
-c <数量> 捕获指定数量的数据包后自动停止
-s <长度> 设置每个包的捕获长度(如 -s 0 捕获完整数据包)
-v 详细输出(-vv-vvv 显示更详细信息)
-q 简化输出(仅显示基本信息)
-A 以 ASCII 格式显示数据内容(适用于 HTTP/文本协议)
-X 同时以十六进制和 ASCII 格式显示数据

三、过滤表达式

1. 按协议过滤
bash 复制代码
tcpdump tcp        # 仅捕获 TCP 流量
tcpdump udp        # 仅捕获 UDP 流量
tcpdump icmp       # 仅捕获 ICMP 流量
tcpdump arp        # 仅捕获 ARP 流量
2. 按 IP 地址过滤
bash 复制代码
tcpdump host 192.168.1.100       # 捕获与指定主机的所有通信
tcpdump src 10.0.0.1             # 捕获源 IP 为 10.0.0.1 的流量
tcpdump dst 172.16.0.5           # 捕获目的 IP 为 172.16.0.5 的流量
3. 按端口过滤
bash 复制代码
tcpdump port 80                  # 捕获端口 80 的流量(HTTP)
tcpdump src port 22              # 捕获源端口为 22 的流量(SSH)
tcpdump dst port 443             # 捕获目的端口为 443 的流量(HTTPS)
4. 组合条件
bash 复制代码
tcpdump 'tcp and port 80 and host 192.168.1.1'  # 捕获指定主机的 TCP 80 端口流量
tcpdump 'udp and (port 53 or port 67)'          # 捕获 DNS 或 DHCP 流量
tcpdump 'icmp and src 10.0.0.5'                 # 捕获来自 10.0.0.5 的 ICMP 包

四、实用示例

1. 捕获所有流量并保存到文件
bash 复制代码
sudo tcpdump -i any -s 0 -w full_traffic.pcap
2. 实时分析 HTTP 请求
bash 复制代码
sudo tcpdump -i eth0 -nnA 'tcp port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420)'

说明:匹配 HTTP GET 请求(十六进制 47455420 对应 "GET ")

3. 捕获 DNS 查询
bash 复制代码
sudo tcpdump -i eth0 -nn 'udp port 53'
4. 分析 SSH 连接
bash 复制代码
sudo tcpdump -i eth0 'tcp port 22 and (tcp[tcpflags] & (tcp-syn|tcp-ack) != 0)'
5. 读取抓包文件
bash 复制代码
tcpdump -r full_traffic.pcap -nn 'icmp'

五、输出解读

  • 时间戳 :如 12:34:56.789012 表示捕获时间
  • 协议类型 :如 IPTCPUDP
  • 源和目的地址 :格式 源IP.端口 > 目的IP.端口
  • 标志位 :如 [S](SYN)、[.](ACK)、[P](PSH)、[F](FIN)
  • 数据包长度 :如 length 60 表示包大小(字节)

六、高级技巧

  1. 排除特定流量

    bash 复制代码
    tcpdump 'not port 22'     # 不捕获 SSH 流量
  2. 按包大小过滤

    bash 复制代码
    tcpdump 'greater 1000'    # 捕获大于 1000 字节的包
  3. 显示 MAC 地址

    bash 复制代码
    tcpdump -e                # 显示源/目的 MAC 地址

七、注意事项

  • 避免在生产环境长时间抓包(可能生成大文件)
  • 使用 -w 保存文件后,可用 Wireshark 图形化分析
  • 敏感信息(如密码)可能以明文传输,抓包需谨慎

通过 man tcpdump 可查看完整手册。

相关推荐
liulilittle8 小时前
C++ TAP(基于任务的异步编程模式)
服务器·开发语言·网络·c++·分布式·任务·tap
guts°12 小时前
17-VRRP
网络·智能路由器
Jewel Q12 小时前
动态路由协议基础
网络·智能路由器
宇称不守恒4.013 小时前
2025暑期—06神经网络-常见网络2
网络·人工智能·神经网络
Dreams_l13 小时前
网络编程2(应用层协议,传输层协议)
运维·服务器·网络
数据与人工智能律师13 小时前
数字迷雾中的安全锚点:解码匿名化与假名化的法律边界与商业价值
大数据·网络·人工智能·云计算·区块链
先知后行。13 小时前
网络协议HTTP、TCP(草稿)
网络·网络协议
xzkyd outpaper14 小时前
QUIC协议如何在UDP基础上解决网络切换问题
网络·计算机网络·udp·quic
碳酸的唐14 小时前
Inception网络架构:深度学习视觉模型的里程碑
网络·深度学习·架构