作用
- 抓取网络数据包
- 排查:不通、丢包、端口不通、DNS 异常、HTTP/HTTPS 交互、TCP 握手问题
- 支持过滤:IP、端口、协议、方向、网段
- 输出可保存为
.pcap用 Wireshark 分析
基础语法
tcpdump [选项] [过滤规则]
最常用选项
-i eth0指定网卡(-i any抓所有)-nn不解析 IP / 端口,速度快,推荐必加-s 0抓完整包(默认只抓头部)-w file.pcap保存到文件-r file.pcap读取文件-c 100抓 100 个包自动停-A以 ASCII 查看(HTTP 好用)-X16 进制 + ASCII 详细查看-v详细输出-vv-vvv更详细
过滤规则(BPF 语法)【核心】
按协议
tcpdump tcp
tcpdump udp
tcpdump icmp # ping 用的就是这个
tcpdump arp
按主机
host 192.168.1.100 # 来往都抓
src host 192.168.1.100 # 只抓来源
dst host 192.168.1.100 # 只抓目标
按端口
port 80 port 22 src port 12345 dst port 3306
按网段
net 192.168.1.0/24 src net 10.0.0.0/8
组合过滤(最常用)
host 1.1.1.1 and port 80
tcp and host 1.1.1.1 and port 443
not arp and not icmp # 排除arp、ping
文章评论