Tcpdump是Linux下用于网络数据包捕获与分析的命令行工具,需先安装、确认接口,再通过基础命令、协议/IP/端口/长度/组合过滤等实现精准抓包。
如果您需要在Linux系统中捕获网络数据包以进行流量分析或故障排查,则可以使用Tcpdump这一命令行抓包工具。以下是执行抓包操作并应用常见过滤规则的具体步骤:
一、安装Tcpdump工具
Tcpdump并非所有Linux发行版默认预装,需根据系统包管理器手动安装。安装完成后才能执行后续抓包命令。
1、在基于Debian/Ubuntu的系统中,运行:sudo apt update && sudo apt install tcpdump
2、在基于RHEL/CentOS 8+/AlmaLinux/Rocky Linux系统中,运行:sudo dnf install tcpdump
3、在CentOS 7或早期RHEL系统中,运行:sudo yum install tcpdump
二、查看可用网络接口
执行抓包前需确认目标网络接口名称,避免在错误接口上捕获空流量或遗漏关键通信路径。
1、列出当前系统所有活动网络接口:tcpdump -D
2、若需更简洁输出,可结合ip命令:ip link show | grep "^[0-9]" | awk '{print $2}' | sed 's/://'
三、基础抓包命令与保存文件
Tcpdump默认监听第一个非环回接口,捕获原始数据包并实时输出到终端;也可将结果保存为pcap格式供Wireshark等工具后续分析。
1、在eth0接口上捕获前50个数据包并显示简要信息:sudo tcpdump -i eth0 -c 50
2、将捕获的数据包保存为test.pcap文件:sudo tcpdump -i eth0 -w test.pcap -c 100
3、读取已保存的pcap文件并解析内容:tcpdump -r test.pcap
四、按协议类型过滤数据包
通过指定协议关键字可快速聚焦特定类型的网络通信,减少无关包干扰,提升分析效率。
1、仅捕获ICMP协议数据包(如ping请求与响应):sudo tcpdump -i eth0 icmp
2、仅捕获TCP协议数据包:sudo tcpdump -i eth0 tcp
3、仅捕获UDP协议数据包:sudo tcpdump -i eth0 udp
4、排除DNS查询流量(目的端口53):sudo tcpdump -i eth0 not port 53
五、按IP地址与端口组合过滤
针对特定主机或服务的通信进行精确捕获,适用于定位某台设备异常行为或某项服务的交互细节。
1、捕获来自192.168.1.100的所有流量:sudo tcpdump -i eth0 src host 192.168.1.100
2、捕获发往10.0.0.5且目标端口为22的SSH流量:sudo tcpdump -i eth0 dst host 10.0.0.5 and dst port 22
3、捕获源IP为172.16.0.20且源端口为8080的HTTP服务出向流量:sudo tcpdump -i eth0 src host 172.16.0.20 and src port 8080
六、按数据包长度与方向过滤
利用数据包大小特征识别异常流量(如碎片化攻击、超大帧)、或筛选特定方向通信用于单向链路诊断。
1、捕获大于100字节的数据包:sudo tcpdump -i eth0 greater 100
2、捕获小于64字节的控制类小包(如SYN、ACK):sudo tcpdump -i eth0 less 64
3、仅捕获从本地主机发出的数据包(不包括进入本机的响应):sudo tcpdump -i eth0 'src host 127.0.0.1'
七、组合逻辑与高级表达式过滤
通过布尔运算符构建复合条件,实现对复杂网络场景的精准匹配,例如同时限定协议、地址、端口及载荷特征。
1、捕获来自192.168.2.0/24网段、且目的端口为443的HTTPS流量:sudo tcpdump -i eth0 'src net 192.168.2.0/24 and dst port 443'
2、捕获既不是SSH也不是DNS的TCP流量:sudo tcpdump -i eth0 'tcp and not port 22 and not port 53'
3、捕获包含特定十六进制字符串(如HTTP GET请求)的数据包:sudo tcpdump -i eth0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
