超级详细的Linux抓包工具tcpdump详解!

最新推荐文章于 2025-07-26 16:57:06 发布
最新推荐文章于 2025-07-26 16:57:06 发布
阅读量718 收藏 17
点赞数 21
CC 4.0 BY-SA版权
分类专栏: 网络安全 网络操作 黑客 文章标签: linux tcpdump 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/logic1001/article/details/149645562

超级详细的Linux抓包工具tcpdump详解!

简介

tcpdump 是Linux下一款命令行抓包程序,使用 tcpdump 之前,可以先看一下它提供的帮助。

tcpdump 官方文档手册:https://www.tcpdump.org/manpages/tcpdump.1.html

root@kali:~# tcpdump --help
tcpdump version 4.9.3
libpcap version 1.9.1 (with TPACKET_V3)
OpenSSL 1.1.1g  21 Apr 2020
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
        [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
        [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
        [ -Q in|out|inout ]
        [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
        [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
        [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
        [ -Z user ] [ expression ]

nulllALPGpqNbM0WWbbNAgbNBDc_1079_518.png_720x720q90g.jpg

下面是一个linux访问百度的抓包实例

#下面为TCP的三次握手
22:24:08.927326IP192.168.254.133.43710 > 183.232.231.174.http: Flags [S], seq 3739719434, win 64240, options [mss 1460,sackOK,TS val 3245036665 ecr0,nop,wscale 7], length 0
22:24:08.975622IP183.232.231.174.http > 192.168.254.133.43710: Flags [S.], seq 536888616, ack 3739719435, win 64240, options [mss 1460], length 0
22:24:08.975730IP192.168.254.133.43710 > 183.232.231.174.http: Flags [.], ack 1, win 64240, length 0

#请求百度的网页
22:24:08.975988IP192.168.254.133.43710 > 183.232.231.174.http: Flags [P.], seq 1:78, ack 1, win 64240, length 77: HTTP: GET / HTTP/1.1
22:24:08.976314IP183.232.231.174.http > 192.168.254.133.43710: Flags [.], ack 78, win 64240, length 0

#下面为TCP的四次挥手
22:24:09.042036IP192.168.254.133.43710 > 183.232.231.174.http: Flags [F.], seq 78, ack 2782, win 62780, length 0
22:24:09.043757IP183.232.231.174.http > 192.168.254.133.43710: Flags [.], ack 79, win 64239, length 0
22:24:09.096935IP183.232.231.174.http > 192.168.254.133.43710: Flags [FP.], seq 2782, ack 79, win 64239, length 0
22:24:09.097018IP192.168.254.133.43710 > 183.232.231.174.http: Flags [.], ack 2783, win 62780, length 0

Flags 标识符

  • [S] : SYN(开始连接)
  • [P] : PSH(推送数据)
  • [F] : FIN (结束连接)
  • [R] : RST(重置连接)
  • [.] : 没有 Flag (意思是除上面四种类型外的其他情况,有可能是 ACK 也有可能是 URG)
可选参数解析

设置不解析域名提升速度

  • -n:不把ip转化成域名,直接显示 ip,避免执行 DNS lookups 的过程,速度会快很多
  • -nn:不把协议和端口号转化成名字,速度也会快很多。
  • -N:不打印出host 的域名部分.。比如,,如果设置了此选现,tcpdump 将会打印’nic’ 而不是 ‘nic.ddn.mil’.

将抓取到的数据包保存为文件,可以借助wireshark进行分析

tcpdump -w test.cap

先从服务器下载保存的文件,接着在电脑上使用wireshark打开即可

nullimage-20210723224014639

nullimage-20210723224044609

从文件中读取包数据

tcpdump icmp -r all.pcap

控制详细内容的输出

  • -v:产生详细的输出. 比如包的TTL,id标识,数据包长度,以及IP包的一些选项。同时它还会打开一些附加的包完整性检测,比如对IP或ICMP包头部的校验和。
  • -vv:产生比-v更详细的输出. 比如NFS回应包中的附加域将会被打印, SMB数据包也会被完全解码。
  • -vvv:产生比-vv更详细的输出。比如 telent 时所使用的SB, SE 选项将会被打印, 如果telnet同时使用的是图形界面,其相应的图形选项将会以16进制的方式打印出来
root@kali:~# tcpdump -vvv
192.168.254.133.39060 > 183.232.231.172.http: Flags [S], cksum 0x5ef2 (incorrect -> 0x364f), seq 468528907, win 64240, options [mss 1460,sackOK,TS val 1367245473 ecr 0,nop,wscale 7], length 0
23:15:59.738147 IP (tos 0x0, ttl 128, id 15796, offset 0, flags [none], proto UDP (17), length 74)
183.232.231.172.http > 192.168.254.133.39060: Flags [S.], cksum 0xacad (correct), seq 938571237, ack 468528908, win 64240, options [mss 1460], length 0
23:15:59.785951 IP (tos 0x0, ttl 64, id 33435, offset 0, flags [DF], proto TCP (6), length 40)
192.168.254.133.39060 > 183.232.231.172.http: Flags [.], cksum 0x5ede (incorrect -> 0xc46a), seq 1, ack 1, win 64240, length 0
23:15:59.786517 IP (tos 0x0, ttl 64, id 33436, offset 0, flags [DF], proto TCP (6), length 117)

控制时间的显示

  • -t:在每行的输出中不输出时间
  • -tt:在每行的输出中会输出时间戳
  • -ttt:输出每两行打印的时间间隔(以毫秒为单位)
  • -tttt:在每行打印的时间戳之前添加日期的打印(此种选项,输出的时间最直观)

显示数据包的头部

  • -x:以16进制的形式打印每个包的头部数据(但不包括数据链路层的头部)
  • -xx:以16进制的形式打印每个包的头部数据(包括数据链路层的头部)
  • -X:以16进制和 ASCII码形式打印出每个包的数据(但不包括连接层的头部),这在分析一些新协议的数据包很方便。
  • -XX:以16进制和 ASCII码形式打印出每个包的数据(包括连接层的头部),这在分析一些新协议的数据包很方便。

其他常用的一些参数

  • -i:指定要过滤的网卡接口,如果要查看所有网卡,可以 -i any
  • -Q: 选择是入方向还是出方向的数据包,可选项有:in, out, inout,也可以使用 --direction=[direction] 这种写法
  • -q : 简洁地打印输出。即打印很少的协议相关信息, 从而输出行都比较简短
  • -c : 捕获 count 个包 tcpdump 就退出
  • -s : tcpdump 默认只会截取前 96 字节的内容,要想截取所有的报文内容,可以使用 -s numbernumber 就是你要截取的报文字节数,如果是 0 的话,表示截取报文全部内容。
  • -S : 使用绝对序列号,而不是相对序列号
  • -C:file-size,tcpdump 在把原始数据包直接保存到文件中之前, 检查此文件大小是否超过file-size. 如果超过了, 将关闭此文件,另创一个文件继续用于原始数据包的记录. 新创建的文件名与-w 选项指定的文件名一致, 但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加. file-size的单位是百万字节(nt: 这里指1,000,000个字节,并非1,048,576个字节, 后者是以1024字节为1k, 1024k字节为1M计算所得, 即1M=1024 * 1024 = 1,048,576)
  • -F:使用file 文件作为过滤条件表达式的输入, 此时命令行上的输入将被忽略.
过滤规则

基于IP地址过滤:host

tcpdump host 192.168.10.100

# 根据源ip进行过滤
tcpdump -i eth2 src 192.168.10.100

# 根据目标ip进行过滤
tcpdump -i eth2 dst 192.168.10.200

基于网段进行过滤:net

tcpdump net 192.168.10.0/24

# 根据源网段进行过滤
tcpdump src net 192.168

# 根据目标网段进行过滤
tcpdump dst net 192.168

基于端口进行过滤:port

tcpdump port 8088
# 根据源端口进行过滤
tcpdump src port 8088

# 根据目标端口进行过滤
tcpdump dst port 8088

#同时指定两个端口
tcpdump port 80 or port 8088 

#指定端口的范围
tcpdump portrange 8000-8080
tcpdump src portrange 8000-8080
tcpdump dst portrange 8000-8080

基于协议进行过滤:proto

tcpdump icmp

#过滤IPV4数据包(友情提示:数字 6 表示的是 tcp 在ip报文中的编号。)
tcpdump ip proto 6
tcpdump ip protochain 6

proto 后面跟的 的关键词是固定的,只能是 ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat, mopdl, moprc, iso, stp, ipx, or netbeui 这里面的其中一个。

protochain 后面跟的 protocol 要求就没有那么严格,它可以是任意词,只要 tcpdump 的 IP 报文头部里的 protocol 字段为 就能匹配上。

过滤规则条件
  • and:所有的条件都需要满足,也可以表示为 &&
  • or:只要有一个条件满足就可以,也可以表示为 ||
  • not:取反,也可以使用 !
#过滤出源地址是1.1.1.1发往任意主机的3389端口的数据包
tcpdump src 1.1.1.1 and dst port 3389

当你在使用多个过滤器进行组合时,有可能需要用到括号,而括号在 shell 中是特殊符号,因为你需要使用引号将其包含。

#过滤出源地址是1.1.1.1发往任意主机的3389端口或者22端口的数据包
tcpdump 'src 1.1.1.1 and (dst port 3389 or 22)'
  • =:判断二者相等
  • ==:判断二者相等
  • !=:判断二者不相等

tcpdump 还提供了一些关键字的接口来方便我们进行判断

  • if:表示网卡接口名、
  • proc:表示进程名
  • pid:表示进程 id
  • svc:表示 service class
  • dir:表示方向,in 和 out
  • eproc:表示 effective process name
  • epid:表示 effective process ID
  #过滤来自进程名为 nc 发出的流经 en0 网卡的数据包,或者不流经 en0 的入方向数据包
 tcpdump "( if=en0 and proc =nc ) || (if != en0 and dir=in)"
特殊过滤规则

根据 tcpflags 进行过滤

tcpdump -i eth0 "tcp[tcpflags] & tcp-syn != 0"

基于包大小进行过滤

tcpdump less 32 
tcpdump greater 64 
tcpdump <= 128

根据 mac 地址进行过滤

tcpdump ether host [ehost]
tcpdump ether dst    [ehost]
tcpdump ether src    [ehost]

过滤广播/多播数据包

tcpdump ether broadcast
tcpdump ether multicast

tcpdump ip broadcast
tcpdump ip multicast

tcpdump ip6 multicast
实际应用
#从 HTTP 请求头中提取 HTTP 的 User-Agent
tcpdump -nn -A -s1500 -l | grep "User-Agent:"

#抓取 HTTP GET 请求包
tcpdump -vvAls0 | grep 'GET'

#提取 HTTP 请求的主机名和路径
tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

黑客&网络安全如何学习*

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。
在这里插入图片描述

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

Linux中的tcpdump抓包命令详解:抓取TCP和UDP数据包并按小时输出文件
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
01-02 1223
tcpdump是一个运行在Linux平台上的网络抓包工具,它可以根据使用者的需求对网络上传输的数据包进行捕获。tcpdump支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来精确截取关心的数据报,简化分析的工作量。通过本文的介绍,您应该已经掌握了如何在Linux系统中使用tcpdump命令抓取TCP和UDP数据包,并按小时输出文件。tcpdump是一款功能强大的网络抓包工具,它可以帮助您分析调试网络数据,解决网络故障。
Linux抓包工具tcpdump使用详解
genius_002的专栏
07-24 441
1. 交叉编译 编译tcpdump需要提前下载libpcap,这两个库都可以在tcpdump官网上进行下载,链接如下: http://www.tcpdump.org/#mailing-lists 1.1 编译libpcap 交叉编译libpcap,libpcap支持CMake,既可以使用configure进行编译,也可以使用cmake cmake .. -DCMAKE_TOOLCHAIN_FILE=XXXX.cmake -DCMAKE_INSTALL_PREFIX=XXXX 或者 ./con.
干货!超级详细Linux抓包工具tcpdump详解
Java程序员的知识博客
06-10 1139
后面跟的 protocol 要求就没有那么严格,它可以是任意词,只要 tcpdump 的 IP 报文头部里的 protocol 字段为 就能匹配上。当你在使用多个过滤器进行组合时,有可能需要用到括号,而括号在 shell 中是特殊符号,因为你需要使用引号将其包含。官方文档手册:https://www.tcpdump.org/manpages/tcpdump.1.html。后面跟的 的关键词是固定的,只能是。根据 tcpflags 进行过滤。基于协议进行过滤:proto。基于端口进行过滤:port。
Linux抓包工具tcpdump详解,网络/命令行抓包工具tcpdump详解
weixin_39629269的博客
05-06 383
概述用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump基于底层libpcap库开发,运行需要root权限。一...
Tcpdump网络抓包工具详解!
tersky的专栏
06-16 915
tcpdump是一款功能强大的网络抓包工具,广泛用于网络分析和故障排查。它支持针对网络层、协议、主机、网络或端口进行过滤,提供多种输出格式选项。作为类UNIX系统的首选工具tcpdump需要root权限运行,依赖libpcap库在链路层抓包,并能以混杂模式工作。文章详细介绍了tcpdump的命令格式、常用选项(如-A、-c、-i等)、过滤表达式语法(协议类型、数据流向、关键词等)以及输出结果的解读方法,包括MAC地址、IP地址、端口号、数据包内容等关键信息的识别。最后提供了多个实用示例,如监听多端口、统计
LINUX抓包工具tcpdump详解
粥同学的学习笔记
03-09 954
PS:tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正...
蓝易云 - Linux抓包工具tcpdump详解
高性价比服务器就选:蓝易云
02-10 533
Linux抓包工具tcpdump是一款强大的网络抓包工具,可以在命令行下监控、捕获和分析网络数据包。它提供了丰富的功能来帮助网络管理员和开发人员诊断和排查网络问题。总结:tcpdump是一款强大的网络抓包工具,可以帮助网络管理员和开发人员监控、捕获和分析网络数据包。通过简洁的命令行参数,它可以实现灵活的数据包过滤和捕获功能。为了获得更好的抓包效果,请确保在高负载时使用tcpdump,并且尽量避免使用过滤条件以减少数据包的丢失。使用tcpdump时,可以指定要监听的网络接口和过滤条件,以捕获特定的数据包。
Linux抓包工具-tcpdump
weixin_43510208的博客
05-15 1603
命令行网络抓包工具,基于 libpcap 库实现,支持 BPF(Berkeley Packet Filter) 语法过滤。
linux抓包工具--tcpdump介绍
qq_40642828的博客
05-02 1720
⽹络世界中的数据包交互我们⾁眼是看不⻅的,这个时候对于我们而言就是很抽象,如果可以把交互过程“可视化”,我们就更容易了解网络了。tcpdump和wireshark就是2个分析网络的神器。tcpdump 仅⽀持命令⾏格式使⽤,常⽤在 Linux 服务器中抓取和分析⽹络包。Wireshark 除了可以抓包外,还提供了可视化分析⽹络包的图形⻚⾯。这两个工具实际上是搭配使⽤的,先⽤tcpdump命令在 Linux 服务器上抓包,接着把抓包的⽂件拖出到。
tcpdump显示udp包_Linux抓包工具tcpdump详解
weixin_36354355的博客
12-23 691
tcpdump是一个用于截取网络分组,并输出分组内容的工具,简单说就是数据包抓包工具tcpdump凭借强大的功能和灵活的截取策略,使其成为Linux系统下用于网络分析和问题排查的首选工具tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具...
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 3万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具
Linux抓包工具tcpdump应用详解
09-10
### Linux抓包工具tcpdump应用详解 #### TCPDUMP:网络分析的利刃 在IT运维和网络安全领域,抓包工具(Packet Sniffer)扮演着至关重要的角色,尤其是在Linux环境下,**tcpdump**作为一款经典且强大的网络数据包...
Linux随记(二十一)
最新发布
Nightwish5的博客
07-26 195
参考:https://blog.youkuaiyun.com/zsb706496992/article/details/144722449。参考:https://zhuanlan.zhihu.com/p/711713588 《Tomcat 小版本升级》
深入理解 TCP 协议:Linux 网络传输的可靠基石
Gappsong874的博客
07-23 1111
TCP 协议是互联网可靠数据传输的基石,其设计体现了工程上的高度智慧和权衡。从三次握手建立信任通道,到序列号、ACK、重传机制保障数据可靠有序;从滑动窗口进行端到端的流量控制,到慢启动、拥塞避免、快速恢复等算法守护网络健康;再到四次挥手确保连接优雅关闭,每一个环节都至关重要。深入理解 TCP 的机制,特别是序列号/ACK、滑动窗口、拥塞控制等核心概念,并熟练掌握 Linux 系统下观察、诊断和调优 TCP 连接的工具与方法 (sstcpdumpsysctl。
Linux 下在线安装启动VNC
Tongyao
07-24 174
本文介绍了在CentOS 7系统下在线安装VNC的步骤。主要内容包括:1)使用yum安装tigervnc-server;2)通过vncpasswd命令设置VNC密码;3)启动和停止VNC服务的方法;4)安装GNOME桌面环境以避免黑屏问题。文章提供了完整的命令行操作指南,包括服务管理、端口配置和临时文件清理等实用技巧,适合需要远程桌面功能的Linux用户参考。
2.Linux 网络配置
xie52的博客
07-25 440
将ens33网卡ip地址修改为192.168.100.20,网关设置为192.168.100.254,dns设置为114.114.114.114 ipv4设置为手动配置,自动连接。如果目标是网络:route add -net 目标网络 netmask 网络掩码 gw 网关地址 dev 接口。如果目标是主机:route add -host 目标主机的IP地址 gw 网关地址 dev 接口。如果目标是一个网段,那么可以有网关,也可以没有网关。查看ip转发是否开启,如果开启则结果为1,反之为0。
Linux deb程序包下载、解压、打包与安装
视觉算法小趴菜的博客
07-24 172
本文介绍了deb程序包的基本操作流程:1)使用apt-get download命令下载deb包;2)通过dpkg-deb -R命令解压deb包到指定目录;3)使用dpkg-deb --build命令将修改后的程序文件夹重新打包为deb文件,需确保包含DEBIAN/control等必要文件;4)最后通过dpkg -i命令安装deb程序包。文章以UOS系统下的dde-control-center为例,详细说明了各步骤的具体操作方法和注意事项,为Linux系统下的deb包管理提供了实用指南。
【内网穿透】使用FRP实现内网与公网Linux/Ubuntu服务器穿透&项目部署&多项目穿透方案
@LPX
07-25 581
本文对Linux/Ubuntu服务器如何实现内网穿透进行了详细的介绍,主要使用FRP实现内网与公网服务器的穿透,同时介绍了多项目穿透方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值