简单来说,它是把数据包 dump 到某个地方,能依据使用者的定义截取网络上的数据包进行包分析的工具。可以完整截获网络中传送数据包的“头”以供分析。它支持针对网络层、协议、主机、网络或端口进行过滤,还能提供 and、or、not 等逻辑语句来去除无用信息。
实用命令实例
默认启动
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump</pre></p>通常情况下,会直接启动并监视第一个网络接口上所有经过的数据包。
监视指定网络接口的数据包
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump -i eth1</pre></p>如果没有指定网卡,那么默认只会对第一个网络接口进行监视,通常这个接口是 eth0,并且下面的例子都没有指定网络接口。
监视指定主机的数据包
打印所有进入或离开的数据包.
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump host sundown</pre></p>可以指定 ip ,比如截获所有来自 210.27.48.1 的主机所接收的以及发出的所有数据包
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump host <span style="font-family:'Courier New'!important; color:#80080; line-height:1.5!important; font-size:12px!important">210.27</span>.<span style="font-family:'Courier New'!important; color:#80080; line-height:1.5!important; font-size:12px!important">48.1</span> </pre></p>打印 与 hot 或者与 ace 之间通信的数据包
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump 对 helios 进行监听并且(对 hot 进行监听或者对 ace 进行监听)</pre></p>截获主机 210.27.48.1 的通信,或者截获主机 210.27.48.2 的通信,或者截获主机 210.27.48.3 的通信
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump 捕获主机为 210.27.48.1 且(主机为 210.27.48.2 或 210.27.48.3)</pre></p>打印 ace 与其他主机通信的 IP 数据包,不包括与某些特定主机之间的数据包。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">使用 tcpdump 捕获 IP 主机为 ace 且不是 helios 的数据包。</pre></p>如果想要获取主机 210.27.48.1 与除主机 210.27.48.2 之外其他主机通信的 ip 包,就使用该命令:
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">使用 tcpdump 命令来捕获 IP 数据包,这些数据包的源地址或目的地址是 210.27.48.1 ,并且不是 210.27.48.2 。</pre></p>截获主机发送的所有数据
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">使用 tcpdump 命令并指定网络接口为 eth0,同时指定源主机为 hostname</pre></p>
监视所有送到主机的数据包
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">使用 tcpdump 命令并指定接口为 eth0,目标主机为 hostname</pre></p>监视指定主机和端口的数据包
要获取主机 210.27.48.1 接收或发出的包,可使用如下命令。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump tcp port <span style="font-family:'Courier New'!important; color:#80080; line-height:1.5!important; font-size:12px!important">23</span> host <span style="font-family:'Courier New'!important; color:#80080; line-height:1.5!important; font-size:12px!important">210.27</span>.<span style="font-family:'Courier New'!important; color:#80080; line-height:1.5!important; font-size:12px!important">48.1</span></pre></p>对本机的udp 123端口进行监视123为ntp的服务端口
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump udp port 123 </pre></p>监视指定网络的数据包
打印本地主机与网络上主机之间的通信数据包。其中,网络地址为 ucb-ether,此表达式最初的含义是打印网络地址为 ucb-ether 的所有数据包。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump net ucb-ether</pre></p>打印通过网关 snup 的 ftp 数据包。需要注意的是,表达式被单引号括起来了,这样做可以防止 shell 对其中的括号进行错误解析。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump <span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">gateway snup 以及(port ftp 或者 ftp-data)</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span></pre></p>打印所有源地址或目标地址是本地主机的IP数据包
如果本地网络是通过网关与另一个网络相连接的,那么另一个网络不能被视为本地网络。(注:此句翻译较为曲折,需要进行补充说明)在实际使用中,要将其真正替换成本地网络的名称。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">使用 tcpdump 来捕获包含 IP 协议且不属于本地网络的数据包。通过这种方式,可以对特定网络环境中的 IP 流量进行监控和分析,以便更好地了解网络活动和排查网络问题。它能够过滤出那些来自或去往外部网络的 IP 数据包,而不包括本地网络内部的通信流量。</pre></p>监视指定协议的数据包
打印 TCP 会话中的开始数据包,并且数据包的源或目的不是本地网络上的主机。打印 TCP 会话中的结束数据包,并且数据包的源或目的不是本地网络上的主机。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump <span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">tcp 的 tcpflags 与 (tcp-syn 或 tcp-fin) 进行按位与运算的结果不为 0 ,并且没有 src ,同时 dst 属于 localnet 。</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span></pre></p>打印的数据包需满足以下条件:源或目的端口为 80,网络层协议为 IPv4,且含有数据,同时不能是 SYN、FIN 以及 ACK-only 等不含数据的数据包。(ipv6 的版本的表达式可做练习)
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump <span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">tcp 端口 80 以及 (((ip 的第 2 位到第 2 位 减去 ((ip 的第 0 位与 0xf 进行按位与运算后的结果 )<<2)) - ((tcp[12]&0xf0)>>2)) != 0)</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span></pre></p>可理解为,ip 的第 2 位到第 2 位表示整个 ip 数据包的长度,ip 的第 0 位与 0xf 进行与运算后再大于 4 表示 tcp 头的长度,此域的单位是 32bit,换算成比特数为 ((tcp 的第 12 位与 0xf0 进行与运算后再右移 4 位)乘以 2)。整个 ip 数据包的长度减去 ip 头的长度,再减去 (ip 的第 0 位与 0xf 进行与运算后乘以 2)不等于 0 表示:整个 ip 数据包的长度减去 ip 头的长度,再减去
tcp 头的长度不为 0 ,这意味着 ip 数据包中有数据。对于 ipv6 版本,只需考虑 ipv6 头中的“ ”与“tcp 头的长度”的差值,并且其中的表达方式“ip[]”需换成“ip6[]”。
打印长度超过 576 字节的数据包,且该数据包的网关地址是 snup 的 IP 地址
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump <span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">网关 snup 以及 ip 的第 2 位到第 2 位大于 576 。</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span></pre></p>
打印所有属于 IP 层的广播或多播数据包,并且这些数据包不是物理以太网层的广播或多播数据报。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump <span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">ether[0] 与 1 进行按位与运算的结果为 0 ,并且 ip[16] 大于或等于 224 。</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span></pre></p>打印以下类型的 ICMP 数据包:不是“echo ”类型,也不是“echo reply”类型。例如,当需要打印所有非 ping 程序产生的数据包时,可以使用此表达式。
“echo”类型和“echo reply”类型的 ICMP 数据包一般是由 ping 程序生成的。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">tcpdump <span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">icmp 的 icmptype 不等于 icmp-echo ,并且 icmp 的 icmptype 也不等于 icmp-echoreply 。</span><span style="font-family:'Courier New'!important; line-height:1.5!important; font-size:12px!important">'</span></pre></p>与
曾经有一款非常简单易用的抓包工具。然而,在 Linux 系统中,很难找到一个令人满意的图形化抓包工具。
还好有。我们能够通过以下完美组合来实现:在 Linux 系统中进行抓包操作,接着在相应的环境里对包进行分析。
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">最后将抓取到的数据包保存到./target.cap 文件中。</pre></p>tcp、ip、icmp、arp、rarp 这些选项以及 tcp、udp、icmp 等都需放置在第一个参数的位置,以用于过滤数据报的类型。
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
抓取数据包时,原本默认抓取的长度是 68 字节。当加上-S 0 之后,就能够抓到完整的数据包。
(5)-c 100 : 只抓取100个数据包
不抓取目标端口为 22 的数据包。
数据包的源网络地址是 192.168.1.0 且子网掩码为 255.255.255.0
将其保存为 cap 文件,这样便于进行分析。
使用抓取HTTP包
<p style='margin-bottom:15px;color:#555555;font-size:15px;line-height:200%;text-indent:2em;'> <pre style="margin-top:0px; font-family:'Courier New'!important; word-wrap:break-word; white-space:pre-wrap; margin-bottom:0px; font-size:12px!important">使用 tcpdump 进行抓包操作,设置参数为 -XvvennSs 0 并指定网络接口为 eth0 ,抓取的条件是 tcp 报文头部的第 20 字节到第 21 字节的值为 0x4745 或者为 0x4854 。</pre></p>“GET”的前两个字母是“GE”,“HTTP”的前两个字母是“HT”。
截获的数据未被彻底解码,数据包内的大部分内容是以十六进制形式直接打印输出的。这显然不利于分析网络故障。通常的解决办法是,先使用带 -w 参数的方式截获数据并保存到文件中,接着再使用其他程序(如)进行解码分析。当然,也需要定义过滤规则,以防止捕获的数据包将整个硬盘填满。
# 成都营销推广哪家服务好
# 如果没有
# 社交媒体营销推广的特点
# 宁陵网站建设报价公示
# seo建站推广
# 专业的网站建设兼职
# 企业seo排名有 名
# 海外营销推广哪里好点
# 符合抖音seo规则
# 济宁营销推广获客系统
# 最新外贸seo
# 这样做
# 科技主题营销推广策略
# 校园网站建设计划
# seo引擎优化怎么念
# 黑河网站优化怎么做
# 如何使用seo打造
# 网络营销设计推广招聘
# 个人网站建设免费咨询
# 网站建设拓扑结构包括
# 英文网站百度能推广吗
# 陇南seo公司联系21火星
# 或多
# tcpdump
# 截获与分析网络数据包的实用工具及命令实例
# 数据包
# 第一个
# 到第
# 网络地址
# 不为
# 不等于
# 进行分析
# 的是
# tcpdump:截获与分析网络数据包的实用工具及命令实例
# 源地址
# 也不
# 还能
# 是由
# 中有
# 只需
# 将其
# 它是
# 而不
相关文章:
抖音往年今日功能虽能带来回忆,但有时也需关闭,操作方法看这里
2025年二建施工管理教材:双代号网络图绘制原则解析
淮南网站建设,助力企业腾飞的新引擎,淮南企业腾飞新动力,专业网站建设服务
锐多宝底图下载网站:免费无需登录,支持多种底图下载
毒贩竟将毒品假称肉在网络贩卖,江苏警方破获大案
揭秘低价网站建设背后的优势与风险,低价网站建设,揭秘其背后的利弊真相
江门网站 *** ,打造个性化企业品牌,助力企业腾飞,江门企业品牌腾飞,个性化网站 *** 助力创新营销,江门企业品牌腾飞,个性化网站 *** 助力创新营销
每天用微信?这功能竟能识别提取图片文字,超方便
2025年已过去一半,哪首歌能代表你的上半年?
长沙营销型网站建设,助力企业在线腾飞的新引擎,长沙企业在线腾飞新引擎,专业营销型网站建设服务
优化 *** 网站设计,提升公共服务水平,打造高效 *** 网站,助力公共服务升级,打造高效 *** 网站,助力公共服务水平全面提升
1月12日凰家评测:微信测试新功能,朋友圈内容及图片将被折叠?
西安网站建设公司,助力企业数字化转型,打造专业 *** 平台,西安专业网站建设,赋能企业数字化升级
高端品牌网站建设,打造企业核心竞争力的重要策略,企业核心竞争力提升,高端品牌网站建设的战略布局
外贸企业网站建设,打造国际化品牌形象的关键一步,外贸企业国际化品牌形象塑造的基石,高效网站建设攻略
我要建网站,从零开始打造个人品牌的新篇章,零基础打造个人品牌,开启网站建设新篇章
B2C电子商务网站,新时代的购物革命,新时代B2C电商,引领购物革命的新潮流,新时代B2C电商,引领购物革命潮流的电子商务平台
西安网站优化,提升企业在线竞争力的关键策略,西安企业网站优化攻略,解锁在线竞争力新篇章
抖音通知声音设置指南,教你轻松自定义通知声音
微信误删好友怎么办?这些恢复找回方法请查收
地方门户网站系统,构建区域信息枢纽,助力地方经济发展,打造地方信息枢纽,地方门户网站系统助力区域经济发展
朋友圈常见*神器曝光!微信对话转账生成器危害大?
小红书运营全流程解析:流量入口、内容打造及账号优化策略
忘记微信密码莫慌张!官方推荐这几种轻松找回账号的方法
天津网站 *** ,打造专业、高效的在线平台,天津专业高效网站定制服务,构建您的在线商务门户
电商新手入门指南:搭建网站、选平台及选产品的要点?
微软发布复古手机壁纸,AI绘图工具兴起,你会选哪个做头像?
1月21日微信ios端8.0上线!新表情特效及背后功能揭秘?
“花式”解暑!深圳湾区之心屏变身超级鱼缸
娄底网站建设,助力企业数字化转型,提升品牌影响力,娄底企业数字化转型新动力,网站建设助力品牌影响力升级,娄底企业数字化转型新引擎,网站建设赋能品牌影响力飞跃
手机已连网线或WiFi却无法上网?三个原因及解决办法来啦
快眼看书等网站经营者因侵权被指控!未经许可复制发行文字作品
工作生活急需扫描文稿?微信这一隐藏功能快捷又高效
朋友圈、点赞评论用英语怎么说?这些表达你要知道
十大微信经典营销案例:星巴克、IT茶馆、飘柔的独特玩法?
反传统的Patagonia,不想赚钱
江苏徐州警方破特大网络贩毒案,抓获140余人缴获大量毒品
新疆棉事件两年后,最大品牌输家曝光......
西安网站开发,助力企业腾飞,打造互联网新生态,西安企业互联网升级,专业网站开发,引领新生态腾飞
全方位策略解析,门户网站推广方案全攻略,门户网站推广策略全解析,全方位推广方案指南,门户网站推广全攻略,策略解析与全方位方案指南
微信朋友圈支持发实况照片啦!发布流程及条件你知道吗?
天津网站设计,打造个性化与专业性的完美融合,天津专业网站定制,个性化设计引领品牌新形象
95 后女孩林媛实测!小红书底部菜单变市集,内测大揭秘?
济南建网站,助力企业数字化转型的创新之路,济南赋能企业数字化转型,建站创新引领潮流,济南引领企业数字化转型,创新建站赋能未来
QS标志退出历史舞台,全面启用“SC”新标志
成都网站 *** 公司,助力企业打造高效、专业的 *** 平台,成都专业网站建设,助力企业高效 *** 形象塑造,成都专业网站建设,助力企业高效 *** 形象升级
如今做微商的越来越多,微信号倒卖现象频发,注册多个微信号有妙招?
微信生态数据八卦引关注,流量来源及研究方式大揭秘
微信视频如何同步到视频号?转发别人视频号动态步骤全解析
微信备受大众喜爱,忘记密码如何找回或重设?看这里
相关栏目:
【
广告资讯90366 】
【
广告推广18483 】
【
广告优化154267 】
【
广告营销46464 】