tcpdump抓包笔记

最新推荐文章于 2025-05-23 15:10:06 发布
原创 最新推荐文章于 2025-05-23 15:10:06 发布 · 4.8k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tcpdump #linux #网络

TCPdump是一个命令行工具,用于在网络接口上抓取和分析流量数据包。本文介绍了TCPdump的安装、基本使用、数据包过滤及保存方法,帮助理解网络通信并解决故障。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 概述

tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。

并且支持多种选项和过滤规则,适用场景十分广泛。

由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。

它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。

2. 安装

tcpdump 支持多种 Linux 发行版,所以你的系统中很有可能已经安装了它。用下面的命令检查一下是否已经安装了 tcpdump

$ which tcpdump
/usr/sbin/tcpdump

如果还没有安装 tcpdump,你可以用软件包管理器安装它。 例如,在 CentOS 或者 Red Hat Enterprise 系统中,用如下命令安装 tcpdump

sudo yum install tcpdump

在ubuntu下安装:

sudo apt-get install tcpdump

tcpdump 依赖于 libpcap,该库文件用于捕获网络数据包。如果该库文件也没有安装,系统会根据依赖关系自动安装它。

安装完成后就可以抓包了。

3. 抓包

使用 tcpdump 抓包,需要管理员权限,因此下面的示例中绝大多数命令都是以 sudo 开头。

首先,先用 tcpdump -D 命令列出可以抓包的网络接口:

$ sudo tcpdump -D
1.eth0
2.virbr0
3.eth1
4.any (Pseudo-device that captures on all interfaces)
5.lo [Loopback]

如上所示,可以看到机器中所有可以抓包的网络接口。其中特殊接口 any 可用于抓取所有活动的网络接口的数据包。

我们就用如下命令先对 any 接口进行抓包:

$ sudo tcpdump -i any
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
09:56:18.293641 IP rhel75.localdomain.ssh > 192.168.64.1.56322: Flags [P.], seq 3770820720:3770820916, ack 3503648727, win 309, options [nop,nop,TS val 76577898 ecr 510770929], length 196
09:56:18.293794 IP 192.168.64.1.56322 > rhel75.localdomain.ssh: Flags [.], ack 196, win 391, options [nop,nop,TS val 510771017 ecr 76577898], length 0
09:56:18.295058 IP rhel75.59883 > gateway.domain: 2486+ PTR? 1.64.168.192.in-addr.arpa. (43)
09:56:18.310225 IP gateway.domain > rhel75.59883: 2486 NXDomain* 0/1/0 (102)
09:56:18.312482 IP rhel75.49685 > gateway.domain: 34242+ PTR? 28.64.168.192.in-addr.arpa. (44)
09:56:18.322425 IP gateway.domain > rhel75.49685: 34242 NXDomain* 0/1/0 (103)
09:56:18.323164 IP rhel75.56631 > gateway.domain: 29904+ PTR? 1.122.168.192.in-addr.arpa. (44)
09:56:18.323342 IP rhel75.localdomain.ssh > 192.168.64.1.56322: Flags [P.], seq 196:584, ack 1, win 309, options [nop,nop,TS val 76577928 ecr 510771017], length 388
09:56:18.323563 IP 192.168.64.1.56322 > rhel75.localdomain.ssh: Flags [.], ack 584, win 411, options [nop,nop,TS val 510771047 ecr 76577928], length 0
09:56:18.335569 IP gateway.domain > rhel75.56631: 29904 NXDomain* 0/1/0 (103)
09:56:18.336429 IP rhel75.44007 > gateway.domain: 61677+ PTR? 98.122.168.192.in-addr.arpa. (45)
09:56:18.336655 IP gateway.domain > rhel75.44007: 61677* 1/0/0 PTR rhel75. (65)
09:56:18.337177 IP rhel75.localdomain.ssh > 192.168.64.1.56322: Flags [P.], seq 584:1644, ack 1, win 309, options [nop,nop,TS val 76577942 ecr 510771047], length 1060
---- SKIPPING LONG OUTPUT -----
09:56:19.342939 IP 192.168.64.1.56322 > rhel75.localdomain.ssh: Flags [.], ack 1752016, win 1444, options [nop,nop,TS val 510772067 ecr 76578948], length 0
^C
9003 packets captured
9010 packets received by filter
7 packets dropped by kernel
$

tcpdump 会持续抓包直到收到中断信号。你可以按 Ctrl+C 来停止抓包。正如上面示例所示,tcpdump 抓取了超过 9000 个数据包。在这个示例中,由于我是通过 ssh 连接到服务器,所以 tcpdump 也捕获了所有这类数据包。-c 选项可以用于限制 tcpdump 抓包的数量:

$ sudo tcpdump -i any -c 5
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
11:21:30.242740 IP rhel75.localdomain.ssh > 192.168.64.1.56322: Flags [P.], seq 3772575680:3772575876, ack 3503651743, win 309, options [nop,nop,TS val 81689848 ecr 515883153], length 196
11:21:30.242906 IP 192.168.64.1.56322 > rhel75.localdomain.ssh: Flags [.], ack 196, win 1443, options [nop,nop,TS val 515883235 ecr 81689848], length 0
11:21:30.244442 IP rhel75.43634 > gateway.domain: 57680+ PTR? 1.64.168.192.in-addr.arpa. (43)
11:21:30.244829 IP gateway.domain > rhel75.43634: 57680 NXDomain 0/0/0 (43)
11:21:30.247048 IP rhel75.33696 > gateway.domain: 37429+ PTR? 28.64.168.192.in-addr.arpa. (44)
5 packets captured
12 packets received by filter
0 packets dropped by kernel
$

如上所示,tcpdump 在抓取 5 个数据包后自动停止了抓包。这在有些场景中十分有用 —— 比如你只需要抓取少量的数据包用于分析。当我们需要使用过滤规则抓取特定的数据包(如下所示)时,-c 的作用就十分突出了。

在上面示例中,tcpdump 默认是将 IP 地址和端口号解析为对应的接口名以及服务协议名称。而通常在网络故障排查中,使用 IP 地址和端口号更便于分析问题;用 -n 选项显示 IP 地址,-nn 选项显示端口号:

$ sudo tcpdump -i any -c5 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
23:56:24.292206 IP 192.168.64.28.22 > 192.168.64.1.35110: Flags [P.], seq 166198580:166198776, ack 2414541257, win 309, options [nop,nop,TS val 615664 ecr 540031155], length 196
23:56:24.292357 IP 192.168.64.1.35110 > 192.168.64.28.22: Flags [.], ack 196, win 1377, options [nop,nop,TS val 540031229 ecr 615664], length 0
23:56:24.292570 IP 192.168.64.28.22 > 192.168.64.1.35110: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 615664 ecr 540031229], length 372
最低0.47元/天 解锁文章

200万优质内容无限畅学
JCodeCoder
关注
使用“tcpdump查看原始数据包
__Benco的博客
05-27 1062
再补充一个轶事,当我在写这节课并解释我自己的转储时,我看到我的个人工作站上有一些奇怪的活动。最后,通过逐个关闭,我发现是 Skype,我一直都打开它。至于其余部分,它不是人类可读的,但我们放心,因为我们知道这是一个合法的数据包。使用这种格式的另一个优点是,即使我们无法准确解释这个数据包发生了什么,我们也可以将其发送给可能能够解释的人。现在,如果您认为这有点难以解释,如果您使用 -x 选项,它将以十六进制输出包含数据包内容。使用 -v 选项可以获得更详细的信息,使用 -vv 选项可以获得更多的信息。
Linux抓包工具:tcpdump
debang2014010的专栏
11-04 563
tcpdump 是一个命令行实用工具,允许你抓取和分析经过系统的流量数据包。它通常被用作于网络故障分析工具以及安全工具。 tcpdump 是一款强大的工具,支持多种选项和过滤规则,适用场景十分广泛。由于它是命令行工具,因此适用于在远程服务器或者没有图形界面的设备中收集数据包以便于事后分析。它可以在后台启动,也可以用 cron 等定时工具创建定时任务启用它。 本文中,我们将讨论 tcpdu...
基于ubuntu的tcpdump抓包总结
Nick_Zhang的专栏
07-31 1万+
1、基础讲解     在使用tcpdump之前,需要了解到两条命令     iwconfig:查看所有无线网卡     ifconfig:查看所有网卡 可以看到,ifconfig得到的结果比iwconfig多一个,而且iwconfig侧重得到无线信息,而ifconfig侧重展示接口信息。 2、下载安装tcpdump sudo apt-get install tcpdump
网络抓包命令tcpdump及分析工具wireshark使用
最新发布
HighGO
05-23 660
系统平台:Linux x86-64 Red Hat Enterprise Linux 8,Linux x86-64 Red Hat Enterprise Linux 7,Linux x86-64 SLES 12,银河麒麟 (鲲鹏),银河麒麟 (X86_64),银河麒麟(龙芯)svs,中标麒麟(飞腾)6,中标麒麟(龙芯)7。用户可在wireshark官网下载对应的网络包,支持中文,用户可将在数据库服务器上抓取的网络包传输到个人电脑进行分析。这个参数通常与 -w 参数结合使用,用于定时切换捕获的数据包文件。
linux 看数据包工具,使用tcpdump查看原始数据包
weixin_28901327的博客
05-04 1659
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。有用的选项假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据包淹...
使用tcpdump查看原始数据包
coderOnline的博客
01-29 1226
尽管Snort之类的工具在筛选通过我们的网络而来的所有内容方面做得非常出色,但有时必须要查看原始数据。为此,我们最好的工具是“ tcpdump”。 使用tcpdump的最基本方法是简单地发出以下命令: tcpdump您可以使用-v选项获得更多详细信息,而-vv可以获取更多信息。 有用的选项 假设您已登录到要管理的远程计算机。如果您不带任何选项运行“ tcpdump”,则输出将被来自您的SSH连接的数据包淹没。为避免这种情况,只需从输出中消除端口22: tcpdump not port 22您可以使用许多不
Linux tcpdump抓包必备知识
qiukui111的博客
06-24 858
命令千千万,但只要你拥有我说的思维,你可以写出千千万命令给其它人记(这也是其它博文,复制来复制去的原因)如果想要这份笔记的pdf文档及tcpdump官方文档pdf,请找放牛娃学编程以往精彩火爆文章:=>Linux 通过日志快速定位错误必掌握命令Linux vi最少必备掌握命令。
tcpdump抓包工具
12-29
此外,tcpdump还可以与其他工具结合使用,如Wireshark,后者是一个图形化的网络协议分析工具,可以打开由tcpdump保存的捕包文件,进行更直观和详细的分析。这在故障排查和日志分析中非常有用。 在离线安装tcpdump时...
wireshark 分析DHCP包的基础信息-tcpdump抓包
weixin_44937701的博客
03-24 1227
DHCP抓包 先了解DHCP的工作原理: 1、发现阶段–>发送dhcp discover包 2、提供阶段–>发送hcp offer包 3、选择阶段–>发送dhcp request包 4、确认阶段–>发送dhcp ack包 一、报文分析 1、客户端正常获取 2、客户端释放DHCP 3、客户端获取10网段 4、客户端获取20网段 二、抓包命令 DHCP抓包命令: tcpdump -i eth0 -c 8 -s 0 -w /mnt/sdcard/dhcp.pcap ‘udp and
运维之网络安全抓包—— WireShark 和 tcpdump
2401_88752684的博客
02-13 866
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)网络安全产业就像一个江湖,各色人等聚集。
tcpdump 抓包 查看抓包数据
weixin_44833527的博客
07-20 1428
今天遇到一个需求,需要在linux抓包,把数据打印出来分析,一般抓包tcpdump port 端口号)只能查看数据来源ip,目标ip,数据长度。使用如下指令可以打印数据内容:tcpdump -p -X port 端口号。
Ubuntu下的抓包工具tcpdump
Keivin
04-27 1万+
Ubuntu默认是安装好了tcpdump工具的,如果没有安装的话使用sudo apt-get install tcpdump即可安装。   (如果遇到tcpdump: no suitable device found的问题,检查一下是不是在用root权限运行tcpdumptcpdump只能在root权限下工作)   安装好tcpdump之后,运行tcpdump:   1.
查看tcpdump数据
云行雨施 品物流形
03-13 916
使用wireshark
tcpdump显示包内容_tcpdump 实例获取网络包的50种方法
weixin_39640646的博客
12-10 4627
TCPDUMP 毫无疑问是最重要的网络分析工具,因为它简单实用,而且功能强大。这篇教程将会教你从 IP、端口、协议、应用层等多方面来获取通信数据包,确保你可以尽可能快的找到你想要的数据。tcpdump 的安装很简单,在 ubuntu 上:$ apt install tcpdump在 Redhat/Centos 上:$ yum install tcpdump首先通过一个简单的命令来获取 H...
tcpdump显示udp包_TCPDUMP 抓包 , 怎么查看 抓的包的内容呢?
weixin_31935149的博客
12-23 1408
tcpdump -q -X udp port 3333用了上面的命令,但是得到的结果还是不能够直接看出包的内容。是不是还要添加什么参数。cpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture siz...
linux下使用tcpdump抓取数据包
new9232的博客
05-02 1万+
我们都知道windows系统下抓包有强大的wireShark工具,Linux下则可以使用tcpdump进行抓包tcpdump命令格式 tcpdump option proto dir type option : 可选参数 -w 写数据到文件 -r 从文件读数据 -A 以ASCII码方式显示每一个数据包(不显示链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据 proto : 协议。 tcp udp ether wlan ip ip6 dir : 方向。 .
Tcpdump 详解(抓包
weixin_46837396的博客
10-07 3019
一、命令常用参数 -A : 以ASCII格式打印出所有分组,并将链路层的头最小化。 -c :在收到指定的数量的分组后,tcpdump就会停止。 -C :在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size 中指定的大小。如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。参数 file_size 的单位是兆字节(是1,000,000字节,而不是1,048,576字节)。 -d :将匹配信息包的代码以人们能够理解的汇编格式给出。 -dd :将匹配信息包的代码以c语言程序段的
计算机网络抓包工具——tcpdump详解
热门推荐
m0_52165864的博客
08-01 3万+
tcpdumpLinux里的字符界面的数据抓包分析软件。tcpdump是一个用于截取网络分组,并输出分组内容的工具。
tcpdump抓包命令筛选特定报文
08-31
要使用tcpdump命令筛选特定报文,可以在命令中使用过滤表达式。过滤表达式可以根据报文的源地址、目标地址、协议类型等进行筛选。下面是一些示例命令来筛选特定报文: - 要抓取ICMP报文,可以使用以下命令: ``` $ sudo tcpdump -i any -c5 icmp ``` 这个命令将抓取任何接口上的前5个ICMP报文。 - 要根据目标主机筛选报文,可以使用以下命令: ``` $ sudo tcpdump -i eth0 'dst host 239.33.24.212' ``` 这个命令将抓取目标主机为239.33.24.212的报文。 - 要将抓包结果保存到文件中,可以使用以下命令: ``` $ sudo tcpdump -i eth0 'dst host 239.33.24.212' -w raw.pcap ``` 这个命令将抓取目标主机为239.33.24.212的报文,并将结果保存到raw.pcap文件中。 请注意,这只是一些示例命令,实际使用时可以根据具体需求编写过滤表达式来筛选特定报文。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [tcpdump抓包笔记](https://blog.youkuaiyun.com/qq_33451695/article/details/127911227)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [tcpdump(tcpdump抓包并保存成cap文件)](https://blog.youkuaiyun.com/yetaodiao/article/details/127370896)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值