Linux下抓包工具tcpdump使用

最新推荐文章于 2025-05-15 20:37:34 发布
原创 最新推荐文章于 2025-05-15 20:37:34 发布 · 279 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcpdump #网络抓包

Linux下的tcpdump工具用于抓取网络传输数据,本文介绍了如何安装、监视特定网络接口,以及基本和高级的过滤语法,包括过滤主机、端口、网络、协议等,帮助理解网络数据包的抓取和分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

Linux tcpdump命令用于倾倒网络传输数据;

执行tcpdump指令可列出经过指定网络界面的数据包文件头;

tcpdump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

安装

yum install -y tcpdump

普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

tcpdump

监视指定网络接口的数据包

如果不指定网卡,默认tcpdump只会监视第一个网络接口;

tcpdump -i 网卡

参数说明

  • -a 尝试将网络和广播地址转换成名称。
  • -c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
  • -d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
  • -dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
  • -ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
  • -e 在每列倾倒资料上显示连接层级的文件头。
  • -f 用数字显示网际网络地址。
  • -F<表达文件> 指定内含表达方式的文件。
  • -i<网络界面> 使用指定的网络截面送出数据包。
  • -l 使用标准输出列的缓冲区。
  • -n 不把主机的网络地址转换成名字。
  • -N 不列出域名。
  • -O 不将数据包编码最佳化。
  • -p 不让网络界面进入混杂模式。
  • -q 快速输出,仅列出少数的传输协议信息。
  • -r<数据包文件> 从指定的文件读取数据包数据。
  • -s<数据包大小> 设置每个数据包的大小。
  • -S 用绝对而非相对数值列出TCP关联数。
  • -t 在每列倾倒资料上不显示时间戳记。
  • -tt 在每列倾倒资料上显示未经格式化的时间戳记。
  • -T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
  • -v 详细显示指令执行过程。
  • -vv 更详细显示指令执行过程。
  • -x 用十六进制字码列出数据包资料。
  • -w<数据包文件> 把数据包数据写入指定的文件。

基本语法

1、过滤主机

  • 抓取所有经过eth1,目的或源地址是172.16.20.254的网络数据
tcpdump -i eth1 host 172.16.20.254
  • 指定源地址
tcpdump -i eth1 src host 172.16.20.254
  • 指定目的地址
tcpdump -i eth1 dst host 172.16.20.254

2、过滤端口

  • 抓取所有经过eth1,目的或源端口是22的网络数据
tcpdump -i eth1 port 22
  • 指定源端口
tcpdump -i eth1 src port 22
  • 指定目的端口
tcpdump -i eth1 dst port 22

3、网络过滤

tcpdump -i enp1s0 net 10.10

tcpdump -i enp1s0 src net 10.10(指定源端口)

tcpdump -i enp1s0 dst net 10.10(指定目的端口)

4、协议过滤

tcpdump -i eth1 arp
tcpdump -i eth1 ip
tcpdump -i eth1 tcp
tcpdump -i eth1 udp
tcpdump -i eth1 icmp

5、常用表达式

非 : ! or not  
且 : && or and
或 : || or or
  • 抓取所有经过enp1s0,目的地址是172.16.20.254或10.10.1.10端口是22的TCP数据;
tcpdump -i enp1s0 '((tcp) and (port 22) and ((dst host 172.16.20.254) or (dst host 10.10.1.10)))'
  • 抓取所有经过enp1s0,目标MAC地址是00:01:02:03:04:05的ICMP数据;
tcpdump -i enp1s0 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'
  • 抓取所有经过enp1s0,目的网络是10.10,但目的主机不是10.10.1.100的TCP数据;
tcpdump -i enp1s0 '((tcp) and ((dst net 10.10) and (not dst host 10.10.1.100)))'

高级包头过滤

proto[x:y]          : 过滤从x字节开始的y字节数。比如ip[2:2]过滤出3、4字节(第一字节从0开始排)
proto[x:y] & z = 0  : proto[x:y]和z的与操作为0
proto[x:y] & z !=0  : proto[x:y]和z的与操作不为0
proto[x:y] & z = z  : proto[x:y]和z的与操作为z
proto[x:y] = z      : proto[x:y]等于z

操作符 : >, <, >=, <=, =, !=

IP头

只针对IPv4

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |Version|  IHL  |Type of Service|          Total Length         |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |         Identification        |Flags|      Fragment Offset    |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |  Time to Live |    Protocol   |         Header Checksum       |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |                       Source Address                          |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |                    Destination Address                        |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |                    Options                    |    Padding    | <-- optional
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |                            DATA ...                           |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

 待补充。。。

参考:http://linuxwiki.github.io/NetTools/tcpdump.html#_4

 

 

Linux如何抓包
Lachewuxian的博客
10-09 573
04、抓取源地址是192. 168.1. 100的包,并将结果保存到result.cap 文件中。01、抓取所有网络包,并在terminal中显示抓取的结果,将包以十六进制的形式显示。03、抓取所有的经过etho网卡的网络包,存到result.cap文件中。02、抓取所有的网络包,并存到result.cap 文件中。tcpdumpLinux自带的抓包工具抓包类型:指定抓包,动态抓包。06、抓取目的地址包含是。的包,并将结果保存到。的包,并将结果保存到。07、抓取主机地址为。05、抓取地址包含是。
Linux网络抓包工具tcpdump是如何实现抓包的,在哪个位置抓包的?
李姓门徒
04-29 3662
随着G行架构从集中式体系向分布式式体系转型,行内系统服务快速增多,不同的服务短期内需要在集中式体系、分布式体系之间互相调用,调用链复杂,网络通讯相关问题时有发生。系统管理员在排查网络问题时就用到一款网络抓包工具tcpdump,该工具可以将网络中传送的数据包完全截获下来进行分析,能有效的排查复杂环境的网络问题。本文将从原理的角度分析tcpdumpLinux系统的实现。 主要是希望能够分析实现原理,以协助判断tcpdump抓的是网卡的包,还是经过内核处理后的包?对于分析服务器处理网络包过程有很大帮助。
linux tcpdump
qq_27403547的博客
12-14 911
1、抓取回环网口的包:tcpdump -i lo 2、防止包截断:tcpdump -s0 3、以数字显示主机及端口:tcpdump -n    第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明
Linux抓包工具-tcpdump
最新发布
weixin_43510208的博客
05-15 1695
命令行网络抓包工具,基于 libpcap 库实现,支持 BPF(Berkeley Packet Filter) 语法过滤。
Linuxtcpdump网络抓包工具详细总结附实例快速掌握
Luckiers的博客
07-11 2325
本文主要介绍tcpdump工具使用参数详解,通过实例方便读者快速掌握。 tcpdump,全称dump the traffic on a network,它使用 libpcap 库来抓取网络数据包,是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有sniffer、wireshark等工具tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等
Linux基础急速入门:用 TCPDUMP 抓包_sudo tcpdump -n -t -s -i enp0s3 port 80
2401_84302538的博客
04-17 835
有的时候因为问题不是立马复现,需要后台进行抓包保存,但是如果都抓到一个包会导致数据量很大,不好分析,因此需要滚动保存包数据,以下命令就会后台执行抓包命令,并且按照时间对每个包进行命名,当不需要抓包的时候可以ps -ef|grep tcpdump 找到进程,kill掉即可。注:保存目录为tmp下,名字为22.pcap,后缀名是固定格式,名字可以自定义,抓到的包可以使用wireshark工具打开进行分析。网卡,端口,和W参数后的包数量,还有包命名,可以根据需求自己修改,其他参数可以不用修改。
Linux抓包
cherish_2012的专栏
11-27 1096
linux抓包tcpdump -X -s 0 host 192.168.8.54 -w testfile.cap -i eth0 说明:在某个主机上进行抓包,与主机192.168.8.54相互通信的数据包,其中-X  -s0 标书抓全包; -w testfile.cap表示抓包保存的文件; -i eth0表示抓网卡eth0的包 其中 --s0 表示抓全包, -w tes
Linux抓包工具tcpdump使用介绍.docx
09-26
Linux抓包工具 tcpdump 使用介绍 tcpdump 是一个功能强大且灵活的抓包工具,广泛应用于网络分析和测试技术中。下面是 tcpdump 的一些重要知识点: 1. Ether 广播包的匹配:tcpdump 可以匹配 ether 广播包, ...
Linux抓包工具tcpdump的Makefile(基于cmake)
05-25
抓包选项: -c:指定要抓取的包数量。注意,是最终要获取这么多个包。例如,指定"-c 10"将获取10个包,但可能已经处理了100个包,只不过只有10个包是满足条件的包。 -i interface:指定tcpdump需要监听的接口。若未...
arm平台下抓包工具tcpdump
08-24
arm下抓包工具 Linux version 4.14
linux 嵌入式抓包工具tcpdump
11-10
5. **安全与隐私**:抓包工具可能涉及敏感信息,如用户数据、密码等。务必遵守相关法律法规,确保数据安全和隐私保护。 配合源码学习: 通过查看tcpdump的源码,开发者可以深入理解网络数据包捕获的原理,了解如何...
linux抓包
Isildur2010的专栏
08-31 1492
linux如何抓包   2010-06-13 11:59:38|  分类: linux |举报 |字号 订阅     linux如何抓包 ==================================================================
linux抓包命令
u013452335的博客
02-19 561
tcpdump -i eth0 -vnn dst host 127.0.0.1 -w 111.pcap 抓好包用wireshark(window中的工具)打开
linux 抓包教程
唐顺才的博客
05-28 3886
linux抓捕网络包 jacky. 1650727278@@q.com tcpdumplinux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是centos 7。 tcpdump的命令格式 tcpdump的参数众多,通过man tcpdump可以查看tcpdump的详细说明,这边只列一些笔者自己常用的参数: tcpdump [-i 网卡] -nnAX ‘表达式’ 各参数说明...
linux下最全抓包命令使用方式学习和拓展
小杨互联网
09-20 9097
为什么要抓包抓包有什么作用?抓包的好处:1,分析出当前服务器存在的漏洞,接口参数,防盗链,流量工具,ip伪造,参数篡改,钓鱼网站等。抓包的作用:端到端联调,包括不限制语言的参数请求,只要走upd,http协议。万物皆可抓、举个例子抓包的应用场景:网络传输,特殊协议,特殊场景,比如公安的视图库,国标,需要硬件交互的都必不可少(常见的:TCP,UDP,TLS,HTTP,QUIC,HTTP/2 Stream)。我们来看看官网的介绍:(我还是那句话,不要上手就粘,万物皆可粘,这是没错,但是有这自己的理解更胜一筹)
Linux下面抓包
张云生的博客
05-30 2889
一、使用命令:tcpdump -i any -s 0 -w 111.dat111.dat是想要生成的文件名称二、如果该命令不能使用,则需要安装:yum install -y tcpdump安装成功后如下图:三、使用wireshark打开所生成的文件:输入http过滤,可以查看请求包中的数据...
怎样在Linux服务器上抓包
qwert
04-21 4173
要在 Linux 服务器上使用 Wireshark 抓包,您需要通过 SSH 连接到服务器,并启动 Wireshark 的远程捕获功能。需要注意的是,抓包可能会对服务器的性能产生一定影响,尤其是在高负载情况下。因此,在进行抓包时,应尽量避免影响服务器的正常工作,并及时停止抓包操作。Wireshark 是一款常用的 GUI 抓包工具,它可以实时监控服务器上的网络数据包,并将其显示在用户界面中。tcpdump 是一款常用的命令行抓包工具,它可以实时监控服务器上的网络数据包,并将其输出到终端或者文件中。
Linux tcp数据分节接收,TCP的建立和终止 图解
weixin_33581873的博客
05-12 251
前言在没有理解TCP连接是如何建立和终止之前,我想你可能并不会使用connect,accept,close这三个函数并且使用netstat程序来调试应用。所以掌握TCP连接的建立和终止势在必行。三次握手客户端首先通过调用connect函数发起主动打开(服务器为被动打开),这导致客户端TCP发送一个SYN同步分节(Synchronize Sequence Numbers),告诉服务器将在连接中发送的...
linux抓目标服务器的包,linux系统下使用tcpdump进行抓包的方法
weixin_33669545的博客
05-09 378
linux系统下使用tcpdump进行抓包的方法发布时间:2020-09-29 16:32:15来源:亿速云阅读:102作者:小新小编给大家分享一下linux系统下使用tcpdump进行抓包的方法,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!1.常见参数tcpdump -i eth0 -nn -s0 -v port 80...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值