Linux系统抓包命令tcpdump使用实例

最新推荐文章于 2025-04-26 00:15:00 发布
最新推荐文章于 2025-04-26 00:15:00 发布
阅读量7.2k 收藏 16
点赞数 2
分类专栏: 系统运维[linux] 文章标签: tcpdump抓包 linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wujunokay/article/details/50594842
版权
本文介绍如何在Linux系统中使用tcpdump工具进行网络抓包。包括基本命令格式、常用参数及各种过滤条件的应用,如监听特定协议、主机、端口等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

linux系统网络抓包用tcpdump,首先当然是看有没有安装了,没有就用yum安装一下。

tcpdumplinux命令行下常用的的一个抓包工具,记录一下平时常用的方式,测试机器系统是centos 7

tcpdump的命令格式
tcpdump的参数众多,通过man tcpdump可以查看tcpdump的详细说明,这边只列一些笔者自己常用的参数:
tcpdump [-i 网卡] -nnAX '表达式'
各参数说明如下:
-iinterface 监听的网卡。
-nn:表示以ipport的方式显示来源主机和目的主机,而不是用主机名和服务。
-A:以ascii的方式显示数据包,抓取web数据时很有用。
-X:数据包将会以16进制和ascii的方式显示。
表达式:表达式有很多种,常见的有:host 主机;port 端口;src host 发包主机;dst host 收包主机。多个条件可以用andor组合,取反可以使用!,更多的使用可以查看man 7 pcap-filter
下面进行一些命令测试,如果没有权限,可以先切换成root用户。

监听网卡eth0
$ tcpdump -i eth0
这个方式最简单了,但是用处不多,因为基本上只能看到数据包的信息刷屏,压根看不清,可以使用ctrl+c中断退出,如果真有需求,可以将输出内容重定向到一个文件,这样也更方便查看。

监听指定协议的数据
$ tcpdump -i eth0 -nn 'icmp'
这个是用来监听icmp协议的数据,就是ping命令使用的协议。类似的,如果要监听tcp或者是udp协议,只需要修改上例的icmp就可以了。ping下监听的机器,输出如下:

linux使用tcpdump抓包示例
每一行的各个数据表示的含义:
抓到包的时间 IP 发包的主机和端口 > 接收的主机和端口 数据包内容

监听指定的主机
$ tcpdump -i eth0 -nn 'host 192.168.1.231'
这样的话,192.168.1.231这台主机接收到的包和发送的包都会被抓取。
$ tcpdump -i eth0 -nn 'src host 192.168.1.231'
这样只有192.168.1.231这台主机发送的包才会被抓取。
$ tcpdump -i eth0 -nn 'dst host 192.168.1.231'
这样只有192.168.1.231这台主机接收到的包才会被抓取。

监听指定端口
$ tcpdump -i eth0 -nnA 'port 80'
上例是用来监听主机的80端口收到和发送的所有数据包,结合-A参数,在web开发中,真是非常有用。

监听指定主机和端口
$ tcpdump -i eth0 -nnA 'port 80 and src host 192.168.1.231'
多个条件可以用andor连接。上例表示监听192.168.1.231主机通过80端口发送的数据包。

监听除某个端口外的其它端口
$ tcpdump -i eth0 -nnA '!port 22'
如果需要排除某个端口或者主机,可以使用“!”符号,上例表示监听非22端口的数据包。

同时可以将数据输出到一个指定的文件

tcpdump -i em2 -vnn port 8000 -w xxx.cap


小结:
tcpdump这个功能参数很多,表达式的选项也非常多,非常强大,不过常用的功能确实不多。详情可以通过man查看系统手册。
另外在抓取web包的时候,发送网页内容都是很奇怪的字符,发现是apache开启了gzip压缩的缘故,关闭掉gzip压缩就可以了。在centos 7下,编辑vim/etc/apache2/mods-enabled/deflate.load文件,将加载模块deflate_module的语句注释掉,然后重启apacheOK了。



Linux抓包命令tcpdump使用技巧大全
网络技术联盟站
06-07 944
tcpdump是一个网络数据包分析工具,由Van Jacobson、Craig Leres和Steven McCanne在1988年开发。它是一个命令行工具,能够实时地捕获和显示通过网络接口传输的数据包。tcpdump基于libpcap库工作,libpcap是一个跨平台的C/C++库,用于捕获网络数据包。
Linux抓包命令集锦(tcpdump抓包
墨痕诉清风的博客
01-09 4560
/****************************************************************************************** *              版权声明 *   本文为本人原创,本人拥有此文的版权。鉴于本人持续受益于开源软件社区, * 本人声明:任何个人及团体均可不受限制的转载和复制本文,无论是否用于盈利 * 之目的,但不得修改...
2024年Linux CentOS 环境下安装JDK的三种方法(2),2024年最新农民工看完都学会了
2401_83947434的博客
05-03 1325
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
tcpdump学习笔记(二)
Cecilia3333的博客
05-31 593
序言单独总结tcpdump抓包的常用命令主要语法过滤主机/IP: tcpdump -i eth1 host 172.16.7.206抓取所有经过网卡1,目的IP为172.16.7.206的网络数据 过滤端口: tcpdump -i eth1 dst port 1234抓取所有经过网卡1,目的端口为1234的网络数据 过滤特定协议: tcpdump -i eth1 udp抓取所有经过网卡1,协议类型...
Linux抓包工具之TCPdumpTcpdump, a Linux Packet Capture Tool)
最新发布
Linux运维老纪的博客
04-26 457
tcpdump tcpdump‌是Linux下的一个抓包工具,用于截取网络分组并输出分组内容。其英文名称即为“tcpdump”,对应的英文解释为“dump traffic on a network”,即“转储网络上的流量”‌。 tcpdump的基本功能和使用场景 tcpdump是一个强大的命令行网络包分析工具,可以详细记录计算机通信中的报文内容。它支持针对网络层、协议、主机、网络或端口的过滤,并提供逻辑语句如and、or、not等来帮助去除无用信息‌。
tcpdump(1) command
Dablelv 的博客专栏。
06-24 3087
1功能 tcpdump是一款类Unix环境下的抓包工具,允许用户截获和显示发送或收到的网络数据包。tcpdump 是一个在BSD许可证下发布的自由软件。 2.命令格式 tcpdump [ -AbdDefIKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ] [ -C file_size ] [ -G rotate_secon...
抓取Android & Linux网络包
chuifuhuo6864的博客
11-16 354
tcpdump -vv -s 300 -w /sdcard/capture.pcap root@android :/ # tcpdump --h tcpdump --h tcpdump version 3.9.8 libpcap version 0.9.8 Usage: tcpdump [-...
linux 下 libpcap抓包实例程序
tianxiajianling的专栏
07-17 5409
#define APP_NAME        "sniffex" #define APP_DESC        "Sniffer example using libpcap" #define APP_COPYRIGHT    "Copyright (c) 2005" #define APP_DISCLAIMER    "THERE IS ABSOLUTELY NO WARRANTY FO
Linux系统抓包命令tcpdump使用实例.docx
09-26
Linux 系统抓包命令 tcpdump 使用实例 tcpdumpLinux 命令行下常用的一个抓包工具,记录一下平时常用的方式,测试机器系统是 Ubuntu 12.04。tcpdump命令格式为:tcpdump [-i 网卡] -nnAX 表达式。 参数说明...
Linux抓包工具tcpdump
EsDeath_99的博客
04-25 1328
命令格式:tcpdump option proto dir typeproto(协议)2.ip、ipv63.arpdir(数据的方向 )1.src 192.168.7.130 只抓取源地址是7.1302.dst 192.168.7.131 只抓取目的地是7.1313.src 192.168.7.130 and dst 192.168.7.131 只抓取130到131之间的type(抓取的数据类型)1.host:主机2.net:网段3.port:端口。
linux系统使用tcpdump进行抓包方法
01-20
我先看下实例代码: 1.常见参数 tcpdump -i eth0 -nn -s0 -v port 80 -i 选择监控的网卡 -nn 不解析主机名和端口号,捕获大量数据,名称解析会降低解析速度 -s0 捕获长度无限制 -v 增加输出中显示的详细信息量 port...
linuxtcpdump命令详解,tcpdump命令
weixin_31730595的博客
04-29 418
tcpdump命令是一款sniffer工具,它可以打印所有经过网络接口的数据包的头信息,也可以使用-w选项将数据包保存到文件中,方便以后分析。语法tcpdump(选项)选项-a:尝试将网络和广播地址转换成名称;-c:收到指定的数据包数目后,就停止进行倾倒操作;-d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;-dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;-ddd:...
linuxtcpdump命令详解,linux tcpdump命令详解
weixin_34161139的博客
04-29 346
LinuxLinux tcpdump是最重要的技术之一,下面由学习啦小编为大家整理了linux tcpdump命令的相关知识,希望对大家有帮助!1.Linux tcpdump的选项介绍-a将网络地址和广播地址转变成名字;-d将匹配信息包的代码以人们能够理解的汇编格式给出;-dd将匹配信息包的代码以c语言程序段的格式给出;-ddd将匹配信息包的代码以十进制的形式给出;-e在输出行打印出数据链路层...
Linux tcpdump 命令详解
Lamb的博客
08-04 3368
proto 修饰符描述id 所属的协议. 可选的协议有: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp以及 upd.(nt | rt: ether, fddi, tr, 具体含义未知, 需补充. 可理解为物理以太网传输协议, 光纤分布数据网传输协议,以及用于路由跟踪的协议. wlan, 无线局域网协议;而其中的 BSSID, RA, TA 域(nt | rt: 具体含义需补充)不会被检测(nt: 不能被用于包过虑表达式中).
Linux命令--tcpdump命令--使用与详解
IT利刃出鞘的博客
05-08 2088
本文介绍Linuxtcpdump命令的用法。 tcpdump可以输出网络的通信记录,可以用来排查问题、查看被攻击网站的详细情况等。
[LINUX]tcpdump命令详解
nierychen的博客
08-28 3312
最后,特别要注意,使用tcpdump命令的时候,建议加上-c命令,因为如果不加任何过滤的话,就会无限制的抓取数据包,直到磁盘存满为止,很可怕的,有些时候我们需要触发抓包的时候,可不用-c,触发完之后停止抓包,就OK了。tcpdumpLinux系统下的一款抓包命令集,工作原理是基于网卡抓取流动在网卡上的数据包。lo    //指的是该主机的回环地址(127.0.0.1),一般用来测试网络专用,一般的数据都不通过这块网卡,所以我们用tcpdump抓包的时候也不使用这块网卡。这可以用来限制捕获的数据包数量。
Linux命令大全- tcpdump命令详解
隔壁老瓦的专栏
09-11 1124
losbyday 一名热爱开源、朴实的搬运工 Linux tcpdump命令详解 简介 用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支 持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑...
Linux tcpdump 命令详解:强大的命令行网络嗅探工具,用于捕获和分析经过计算机网络接口的数据包
yangchuang111213的博客
03-27 1207
功能命令捕获所有数据包捕获指定数量的数据包保存数据包到文件从文件读取并分析数据包捕获特定端口的数据包捕获 ICMP 数据包捕获特定网络的数据包显示十六进制和 ASCII 内容tcpdump是网络分析和故障排查的重要工具,适用于网络管理员、开发人员、系统
Solaris/Linux服务器抓包命令
jacky0922的专栏
04-26 3536
Solaris snoop  -o aaa.cap [src | dst ]  [ host135.251.218.77 | net 135.251.218.0 ] [and | or ]  [port 7013]   例如snoop  -o aaa.cap port7013 抓取目的端口或者 源端口 为7013的包 到文件aaa.cap     Linux tcpdump -w
tcpdump抓包命令使用
08-31
tcpdump是一个常用的网络抓包工具,它可以帮助用户捕获经过指定网络接口的数据包。在类Unix系统中,包括Linux和macOS,tcpdump都是非常受欢迎的命令行工具。 下面是一些基本的tcpdump命令使用方法: 1. 基本抓包命令: ``` tcpdump ``` 这条命令会在运行它的网络接口上捕获数据包。通常,这个命令需要管理员权限才能运行。 2. 指定网络接口: ``` tcpdump -i eth0 ``` 在这个例子中,`-i` 选项用于指定要监听的网络接口(本例中为`eth0`)。如果不指定接口,tcpdump将默认选择一个。 3. 捕获特定数量的数据包: ``` tcpdump -c 10 ``` `-c` 选项允许用户指定要捕获的数据包数量。在这个例子中,tcpdump将只捕获10个数据包然后停止。 4. 指定过滤条件: ``` tcpdump -i eth0 'tcp port 80' ``` 使用`tcp port 80`过滤条件可以限制tcpdump只捕获目的或源端口为80的数据包,这通常用于HTTP流量。 5. 将输出保存到文件: ``` tcpdump -i eth0 -w capture.pcap ``` `-w` 选项允许用户将捕获的数据包保存到文件中,而不是直接在终端显示。这在后续分析时非常有用,因为可以使用Wireshark这样的工具进行详细分析。 6. 读取保存的抓包文件: ``` tcpdump -r capture.pcap ``` 使用`-r` 选项可以读取之前保存的tcpdump文件。 请注意,运行tcpdump命令可能需要root权限,而且在处理大量数据时应该小心,因为它可能会占用大量的磁盘空间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值