Tcpdump是Linux下用于网络数据包捕获与分析的命令行工具,需先安装、确认接口,再通过基础命令、协议/IP/端口/长度/组合过滤等实现精准抓包。
如果您需要在Linux系统中捕获网络数据包以进行流量分析或故障排查,则可以使用Tcpdump这一命令行抓包工具。以下是执行抓包操作并应用常见过滤规则的具体步骤:
Tcpdump并非所有Linux发行版默认预装,需根据系统包管理器手动安装。安装完成后才能执行后续抓包命令。
1、在基于Debian/Ubuntu的系统中,运行:sudo apt update && sudo apt install tcpdump
2、在基于RHEL/CentOS 8+/AlmaLinux/Rocky Linux系统中,运行:sudo dnf install tcpdump
3、在CentOS 7或早期RHEL系统中,运行:sudo yum install tcpdump
执行抓包前需确认目标网络接口名称,避免在错误接口上捕获空流量或遗漏关键通信路径。
1、列出当前系统所有活动网络接口:tcpdump -D
2、若需更简洁输出,可结合ip命令:ip link show | grep "^[0-9]" | awk '{print $2}' | sed 's/://'
Tcpdump默认监听第一个非环回接口,捕获原始数据包并实时输出到终端;也可将结果保存为pcap格式供Wireshark等工具后续分析。
1、在eth0接口上捕获前50个数据包并显示简要信息:sudo tcpdump -i eth0 -c 50
2、将捕获的数据包保存为test.pcap文件:sudo tcpdump -i eth0 -w test.pcap -c 100
3、读取已保存的pcap文件并解析内容:tcpdump -r test.pcap
通过指定协议关键字可快速聚焦特定类型的网络通信,减少无关包干扰,提升分析效率。
1、仅捕获ICMP协议数据包(如ping请求与响应):sudo tcpdump -i eth0 icmp
2、仅捕获TCP协议
数据包:sudo tcpdump -i eth0 tcp
3、仅捕获UDP协议数据包:sudo tcpdump -i eth0 udp
4、排除DNS查询流量(目的端口53):sudo tcpdump -i eth0 not port 53
针对特定主机或服务的通信进行精确捕获,适用于定位某台设备异常行为或某项服务的交互细节。
1、捕获来自192.168.1.100的所有流量:sudo tcpdump -i eth0 src host 192.168.1.100
2、捕获发往10.0.0.5且目标端口为22的SSH流量:sudo tcpdump -i eth0 dst host 10.0.0.5 and dst port 22
3、捕获源IP为172.16.0.20且源端口为8080的HTTP服务出向流量:sudo tcpdump -i eth0 src host 172.16.0.20 and src port 8080
利用数据包大小特征识别异常流量(如碎片化攻击、超大帧)、或筛选特定方向通信用于单向链路诊断。
1、捕获大于100字节的数据包:sudo tcpdump -i eth0 greater 100
2、捕获小于64字节的控制类小包(如SYN、ACK):sudo tcpdump -i eth0 less 64
3、仅捕获从本地主机发出的数据包(不包括进入本机的响应):sudo tcpdump -i eth0 'src host 127.0.0.1'
通过布尔运算符构建复合条件,实现对复杂网络场景的精准匹配,例如同时限定协议、地址、端口及载荷特征。
1、捕获来自192.168.2.0/24网段、且目的端口为443的HTTPS流量:sudo tcpdump -i eth0 'src net 192.168.2.0/24 and dst port 443'
2、捕获既不是SSH也不是DNS的TCP流量:sudo tcpdump -i eth0 'tcp and not port 22 and not port 53'
3、捕获包含特定十六进制字符串(如HTTP GET请求)的数据包:sudo tcpdump -i eth0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
# linux
# centos
# 字节
# 端口
# ubuntu
# 工具
# dns
# dnf
# linux系统
# less
# print
# 运算符
# 字符串
# 接口
# http
# https
# udp
# wireshark
# tcpdump
# ssh
# debian
# 数据包
# 命令行
# 保存为
# 这一
# 第一个
# 适用于
# 布尔
# 管理器
# 可将
# 则可
相关栏目:
【
Google疑问12 】
【
Facebook疑问10 】
【
网络优化76771 】
【
技术知识130152 】
【
IDC云计算60162 】
【
营销推广131313 】
【
AI优化88182 】
【
百度推广37138 】
【
网站推荐60173 】
【
精选阅读31334 】
相关推荐:
小程序里php怎么变mp4_小程序调用php生成mp4视频方法【教程】
php嵌入式需要什么环境_搭建php+linux嵌入式开发环境【详解】
MySQL 中使用 IF 和 CASE 实现查询字段条件化显示
如何使用Golang读取日志文件_Golang bufio Scanner日志处理示例
Python项目回滚策略_发布安全说明【指导】
Python装饰器设计思路_功能增强机制说明【指导】
Win11怎么开启游戏工具栏_Windows11 Xbox Game Bar快捷键
XSLT怎么生成动态的HTML属性名和标签名
Windows10如何删除恢复分区_Win10 Diskpart命令强制删除分区
php8.4如何调用com组件_php8.4windows下com操作指南【教程】
Win11如何设置鼠标灵敏度_Win11鼠标灵敏度调整教程【攻略】
Python大型项目拆分策略_模块化解析【教程】
Windows10系统怎么查看系统版本_Win10运行winver命令查询
Win11怎么设置应用分屏_Windows11贴靠布局Snap Layouts
c++中explicit(bool)的用法 c++条件性explicit【C++20】
英国搜索:多数英国人认为语言搜索是未来搜索
Windows系统文件被保护机制阻止怎么办_权限不足错误处理方案
php怎么下载安装后设置错误日志_phpini log配置教程【汇总】
mac怎么安装字体_MAC添加第三方字体与字体册管理【教程】
Mac怎么开启“任何来源”_Mac安装未签名应用的设置方法【解决】
Win11文件扩展名怎么显示_Win11查看文件后缀名设置【基础】
Windows怎样关闭开始菜单推荐广告_Windows关闭开始菜单推荐设置【步骤】
Win11资源管理器卡顿怎么办 Win11文件资源管理器重启技巧【优化】
php订单日志怎么记录发货_php记录订单发货操作日志指南【指南】
Win11怎么关闭搜索历史_Win11清除任务栏搜索记录【隐私】
Windows10系统怎么查看设备管理器_Win10快捷键Win+X菜单使用
php485返回数据不完整怎么办_php485数据分包重组处理方法【教程】
Go语言中CookieJar的持久化机制解析:内存存储与自定义持久化方案
Win11玩游戏全屏闪退怎么办_Win11全屏优化禁用设置【教程】
Windows10系统怎么查看显卡型号_Win10 dxdiag显示选项卡
Win11右键反应慢怎么办 Win11优化右键菜单加载速度【技巧】
Mac如何创建和管理多个桌面空间_Mac高效多任务处理【技巧】
Win11怎么设置默认终端应用_Windows11开发者选项终端
Win10怎样卸载iTunes_Win10卸载iTunes步骤【步骤】
短链接怎么用php递归还原_多层加密链接的处理法【详解】
Windows10系统怎么查看已安装更新_Win10控制面板卸载补丁
Win10系统怎么查看网络连接状态_Windows10网络和共享中心
Win11如何设置电源计划_Win11电源计划优化教程【攻略】
Python网络异常模拟_测试说明【指导】
Win11怎么关闭定位服务_保护Win11位置隐私设置指南【详解】
Win10怎样卸载自带Edge_Win10卸载Edge浏览器步骤【教程】
短链接怎么用php还原_从基础原理到代码实现教学【详解】
C#如何序列化对象为XML XmlSerializer用法
Win11怎么关闭贴靠布局_Win11禁用窗口最大化时的布局菜单
如何在Golang中处理二进制数据_Golang io与encoding/binary二进制操作方法
Win11时间怎么同步到原子钟 Win11高精度时间同步设置【指南】
Python对象比较与排序_魔术方法解析【教程】
如何使用Golang实现跨域请求支持_Golang CORS配置与处理方法
如何使用Golang sort排序切片_Golang sort排序方法示例
如何提升Golang JSON序列化性能_Golang JSON编码效率优化方法
2026-01-02
致胜网络推广营销网专注海外推广十年,是谷歌推广.Facebook广告全球合作伙伴,我们精英化的技术团队为企业提供谷歌海外推广+外贸网站建设+网站维护运营+Google SEO优化+社交营销为您提供一站式海外营销服务。
