簡介

tcpdump 是一個(gè)命令行數(shù)據(jù)包分析器，可實(shí)時(shí)捕獲和檢查網(wǎng)絡(luò)流量。它通常用于網(wǎng)絡(luò)故障排除、性能分析和安全監(jiān)控。

安裝

Debian/Ubuntu

sudo apt update && sudo apt install tcpdump -y

CentOS/RHEL

sudo yum install tcpdump -y

macOS

brew install tcpdump

基礎(chǔ)語法

tcpdump [options] [filter]

示例用法

在默認(rèn)接口上捕獲數(shù)據(jù)包

實(shí)時(shí)捕獲并顯示網(wǎng)絡(luò)數(shù)據(jù)包。

sudo tcpdump

列出可用網(wǎng)絡(luò)接口

sudo tcpdump -D

輸出示例

1. eth0
2. wlan0
3. lo

可以使用此列表中的接口名稱來捕獲特定接口上的數(shù)據(jù)包。

在特定接口上捕獲數(shù)據(jù)包

sudo tcpdump -i eth0

限制捕獲的數(shù)據(jù)包數(shù)量

僅捕獲 10 個(gè)數(shù)據(jù)包然后停止

sudo tcpdump -c 10 -i eth0

將捕獲的數(shù)據(jù)包保存到文件

sudo tcpdump -i eth0 -w capture.pcap

從文件讀取數(shù)據(jù)包

sudo tcpdump -r capture.pcap

僅捕獲特定協(xié)議

1.僅 TCP 數(shù)據(jù)包

sudo tcpdump -i eth0 tcp

2.僅 UDP 數(shù)據(jù)包

sudo tcpdump -i eth0 udp

3.僅 ICMP（ping）數(shù)據(jù)包

sudo tcpdump -i eth0 icmp

捕獲特定主機(jī)的數(shù)據(jù)包

捕獲來自/到 192.168.1.1 的流量

sudo tcpdump -i eth0 host 192.168.1.1

捕獲特定端口上的數(shù)據(jù)包

1.捕獲 HTTP 流量（端口 80）

sudo tcpdump -i eth0 port 80

2.捕獲 SSH 流量（端口 22）

sudo tcpdump -i eth0 port 22

從特定源或目標(biāo)捕獲數(shù)據(jù)包

1.僅捕獲來自源 192.168.1.100 的數(shù)據(jù)包

sudo tcpdump -i eth0 src 192.168.1.100

2.僅捕獲目的地址為 192.168.1.100 的數(shù)據(jù)包

sudo tcpdump -i eth0 dst 192.168.1.100

組合多個(gè)過濾器

在端口 443 (HTTPS) 上捕獲往返于 192.168.1.100 的 TCP 流量

sudo tcpdump -i eth0 tcp and host 192.168.1.100 and port 443

以十六進(jìn)制和 ASCII 格式顯示數(shù)據(jù)包

sudo tcpdump -X -i eth0

無需解析主機(jī)名即可捕獲數(shù)據(jù)包

-n 選項(xiàng)可防止 DNS 查找，從而提高性能

sudo tcpdump -n -i eth0

僅捕獲數(shù)據(jù)包頭（無有效負(fù)載）

-s 0 標(biāo)志捕獲完整的數(shù)據(jù)包而不是截?cái)?/p>

sudo tcpdump -s 0 -i eth0

僅捕獲 HTTP 流量并顯示內(nèi)容

-A 選項(xiàng)以 ASCII 格式打印數(shù)據(jù)包內(nèi)容

sudo tcpdump -A -i eth0 port 80

以上就是Linux使用tcpdump進(jìn)行網(wǎng)絡(luò)分析詳解的詳細(xì)內(nèi)容，更多關(guān)于Linux tcpdump網(wǎng)絡(luò)分析的資料請關(guān)注腳本之家其它相關(guān)文章！

最新評論