网络分析|数据包捕获：linux抓包命令tcpdump详解及常用抓包命令汇总

🔍 网络分析 | 数据包捕获：Linux抓包命令tcpdump详解及常用抓包命令汇总

📢 最新动态（2025年8月）
网络安全研究人员发现新型DDoS攻击变种，攻击者利用IoT设备漏洞发起高频小包攻击，掌握抓包技能成为运维/安全人员必备能力，而tcpdump仍是Linux环境下最轻量高效的抓包工具之一！

🛠️ tcpdump是什么？

tcpdump是Linux自带的命令行网络抓包工具，能实时捕获、分析网络流量，支持过滤特定协议、端口、IP等，它不依赖图形界面，适合服务器调试和自动化脚本集成。

💡 核心优势：

• 轻量级，资源占用低
• 支持复杂过滤规则
• 输出可保存为文件，供Wireshark等工具分析

📖 tcpdump基础用法

1️⃣ 基本抓包命令

sudo tcpdump -i eth0  # 监听eth0网卡的所有流量

• -i：指定网卡（用tcpdump -D查看可用网卡）
• 默认显示简要报文信息（时间戳、源/目标IP、协议等）

2️⃣ 保存抓包数据

sudo tcpdump -i eth0 -w capture.pcap  # 保存为pcap文件

• -w：写入文件（可用Wireshark打开分析）

3️⃣ 过滤特定主机/IP

sudo tcpdump host 192.168.1.100  # 抓取与192.168.1.100相关的流量
sudo tcpdump src 10.0.0.1        # 只抓源IP为10.0.0.1的包
sudo tcpdump dst 8.8.8.8         # 只抓目标IP为8.8.8.8的包

4️⃣ 过滤协议与端口

sudo tcpdump port 80             # 抓HTTP流量
sudo tcpdump tcp port 22         # 抓SSH流量
sudo tcpdump icmp                # 抓Ping包（ICMP）
sudo tcpdump udp port 53         # 抓DNS查询（UDP 53）

5️⃣ 组合过滤条件

sudo tcpdump "host 192.168.1.1 and (port 80 or port 443)"  # 抓该IP的HTTP/HTTPS流量
sudo tcpdump "tcp[tcpflags] & (tcp-syn) != 0"              # 抓所有SYN包（TCP握手）

🎯 高级技巧

🔹 限制抓包数量

sudo tcpdump -c 100 -i eth0  # 只抓100个包后自动停止

🔹 显示数据包内容（16进制+ASCII）

sudo tcpdump -XX -i eth0     # 显示报文详情（适合调试应用层协议）

🔹 忽略本地回环流量

sudo tcpdump -i eth0 not port 22 and not host localhost  # 排除SSH和本地通信

🔹 抓取特定大小的包

sudo tcpdump greater 1000    # 抓大于1000字节的包
sudo tcpdump less 64         # 抓小于64字节的包

📚 常用命令速查表

❓ 常见问题

Q：为什么抓不到包？

• 检查网卡名称是否正确（ip a查看）
• 确认权限（需root或sudo）
• 过滤条件可能太严格

Q：如何分析抓包文件？

• 用-w保存为.pcap后，拖入Wireshark可视化分析
• 或直接tcpdump -r capture.pcap读取

🚀

tcpdump是Linux网络分析的瑞士军刀🔧，结合过滤语法能精准定位问题，掌握它，你就能轻松应对网络延迟、异常流量、安全攻击等场景！

✨ 小贴士：生产环境慎用-A或-X,可能暴露敏感信息！