tcpdump是linux下常用网络抓包工具,支持灵活过滤。1. 基本命令如tcpdump -i eth0 -n -c 10 -w capture.pcap可抓10个包并保存;2. 按IP过滤用host、src、dst;3. 按端口和协议过滤用port、tcp、udp;4. 高级技巧支持BPF语法,可按协议、标志位、包大小等过滤,结合-w与-r可配合wireshark分析,提升排查效率。
在Linux系统中,tcpdump 是最常用的命令行网络抓包工具,能够捕获经过网卡的数据包,并支持灵活的过滤规则,帮助你快速定位问题。掌握 tcpdump 的基本用法和过滤技巧,对网络调试、安全分析和性能排查非常有帮助。
1. 基本抓包命令
开始使用 tcpdump 前,确保你有 root 权限或具备抓包能力(如 cap_net_raw 能力)。
最简单的抓包命令:
tcpdump -i eth0
-i eth0 指定监听的网络接口,可替换为实际接口名(如 enp3s0、wlan0 等)。若不确定接口名,可用 ip link 或 tcpdump -D 查看。
常用基础选项:
- -n:不解析主机名,显示 IP 地址(加快输出)
- -v, -vv, -vvv:增加输出详细程度
- -c N:只抓取 N 个包后退出
- -w file.pcap:将数据包保存到文件,供 Wireshark 等工具分析
- -r file.pcap:从文件读取并分析数据包
tcpdump -i eth0 -n -c 10 -w capture.pcap
这条命令抓取前10个包,不解析域名,保存到 capture.pcap。
2. 按IP地址过滤
只关心特定主机的流量时,使用 host 过滤。
tcpdump -i eth0 host 192.168.1.100
抓取与 192.168.1.100 相关的所有流量。
进一步限定方向:
- src 192.168.1.100:只抓源IP为该地址的包
- dst 192.168.1.100:只抓目标IP为该地址的包
tcpdump -i eth0 src 192.168.1.100 and dst port 80
抓取从 192.168.1.100 发出、目标端口为80的包。
3. 按端口和协议过滤
使用 port 可以过滤特定服务流量。
tcpdump -i eth0 port 80
抓取所有涉及80端口的流量(包括 TCP 和 UDP)。
结合协议过滤:
- tcp port 443:https 流量
- udp port 53:DNS 查询
- portrange 80-88:指定端口范围
tcpdump -i eth0 tcp port 22
只抓 ssh(端口22)的 TCP 流量。
多个条件用 and / or / not 连接:
tcpdump -i eth0 port 80 and host 10.0.0.5
抓取与 10.0.0.5 通信且使用80端口的包。
4. 高级过滤技巧
tcpdump 使用 BPF(Berkeley Packet Filter)语法,支持更复杂的表达式。
常见高级用法:
- 抓取特定协议:tcpdump -i eth0 icmp(只抓 ICMP 包)
- 排除特定流量:tcpdump -i eth0 not port 22(排除 SSH 流量,减少干扰)
- 抓取小包:tcpdump -i eth0 less 128(抓小于128字节的包,常用于探测异常)
- 抓取特定标志位:tcpdump -i eth0 ‘tcp[tcpflags] & tcp-syn != 0’(抓SYN包,用于分析连接建立)
组合示例:抓取非SSH、非DNS的外部通信
tcpdump -i eth0 not port 22 and not port 53 and not src net 192.168.0.0/16
这有助于发现可疑外联行为。
基本上就这些。熟练掌握 tcpdump 的过滤语法,能极大提升排查效率。建议结合 -w 保存现场,再用 Wireshark 分析细节。日常使用中,先缩小范围(接口、IP、端口),再逐步深入,避免输出刷屏。
