简介

1. tcpdump

复制代码

是一个命令行数据包分析器，可实时捕获和检查网络流量。它通常用于网络故障排除、性能分析和安全监控。

安装

1. Debian/Ubuntu

复制代码

1. sudo apt update && sudo apt install tcpdump -y

复制代码

1. CentOS/RHEL

复制代码

1. sudo yum install tcpdump -y

复制代码

1. macOS

复制代码

1. brew install tcpdump

复制代码

基础语法

1. tcpdump [options] [filter]

复制代码

示例用法


在默认接口上捕获数据包

实时捕获并显示网络数据包。

1. sudo tcpdump

复制代码

列出可用网络接口

1. sudo tcpdump -D

复制代码

输出示例

1. 1. eth02. wlan03. lo

复制代码

可以使用此列表中的接口名称来捕获特定接口上的数据包。

在特定接口上捕获数据包

1. sudo tcpdump -i eth0

复制代码

限制捕获的数据包数量

仅捕获 10 个数据包然后停止

1. sudo tcpdump -c 10 -i eth0

复制代码

将捕获的数据包保存到文件

1. sudo tcpdump -i eth0 -w capture.pcap

复制代码

从文件读取数据包

1. sudo tcpdump -r capture.pcap

复制代码

仅捕获特定协议

1.仅 TCP 数据包

1. sudo tcpdump -i eth0 tcp

复制代码

2.仅 UDP 数据包

1. sudo tcpdump -i eth0 udp

复制代码

3.仅 ICMP（ping）数据包

1. sudo tcpdump -i eth0 icmp

复制代码

捕获特定主机的数据包

捕获来自/到

1. 192.168.1.1

复制代码

的流量

1. sudo tcpdump -i eth0 host 192.168.1.1

复制代码

捕获特定端口上的数据包

1.捕获 HTTP 流量（端口 80）

1. sudo tcpdump -i eth0 port 80

复制代码

2.捕获 SSH 流量（端口 22）

1. sudo tcpdump -i eth0 port 22

复制代码

从特定源或目标捕获数据包

1.仅捕获来自源

1. 192.168.1.100

复制代码

的数据包

1. sudo tcpdump -i eth0 src 192.168.1.100

复制代码

2.仅捕获目的地址为

1. 192.168.1.100

复制代码

的数据包

1. sudo tcpdump -i eth0 dst 192.168.1.100

复制代码

组合多个过滤器

在端口 443 (HTTPS) 上捕获往返于 192.168.1.100 的 TCP 流量

1. sudo tcpdump -i eth0 tcp and host 192.168.1.100 and port 443

复制代码

以十六进制和 ASCII 格式显示数据包

1. sudo tcpdump -X -i eth0

复制代码

无需解析主机名即可捕获数据包

1. -n

复制代码

选项可防止 DNS 查找，从而提高性能

1. sudo tcpdump -n -i eth0

复制代码

仅捕获数据包头（无有效负载）

1. -s 0

复制代码

标志捕获完整的数据包而不是截断

1. sudo tcpdump -s 0 -i eth0

复制代码

仅捕获 HTTP 流量并显示内容

1. -A

复制代码

选项以 ASCII 格式打印数据包内容

1. sudo tcpdump -A -i eth0 port 80

复制代码

以上就是Linux使用tcpdump进行网络分析详解的详细内容，更多关于Linux tcpdump网络分析的资料请关注脚本之家其它相关文章！

来源：互联网
免责声明：如果侵犯了您的权益，请联系站长（1277306191@qq.com），我们会及时删除侵权内容，谢谢合作！