当前位置：首页 > SEO教程 >

如何有效使用tcpdump工具进行网络数据包捕获？

96SEO 2026-02-23 13:22 10

class="01">tcpdump采用命令行方式对接口的数据包进行筛选抓取，其丰富特性表现在灵活的表达式上。

class="01">不带任何选项的tcpdump，默认会抓取第一个网络接口，且只有将tcpdump进程终止才会停止抓包。

class="01">例如：

class="01">下面是详细的tcpdump用法。

class="cnblogs_code_toolbar">

alt="复制代码"

data-src="https://assets.cnblogs.com/images/copycode.gif"

tcpdump

-c：指定要抓取的包数量。

注意，是最终要获取这么多个包。

例如，指定"-c

10"将获取10个包，但可能已经处理了100个包，只不过只有10个包是满足条件的包。

interface：指定tcpdump需要监听的接口。

若未指定该选项，将从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口，要抓取loopback接口使用tcpdump

lo)，

：一旦找到第一个符合条件的接口，搜寻马上结束。

可以使用'any'关键字表示所有网络接口。

-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。

-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。

-N：不打印出host的域名部分。

例如tcpdump将会打印'nic'而不是'nic.ddn.mil'。

-P：指定要抓取的包是流入还是流出的包。

可以给定的值为"in"、"out"和"inout"，默认为"inout"。

len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。

对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，

：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。

但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，

：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。

输出选项：

-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。

-q：快速打印输出。

即打印很少的协议相关信息，从而输出行都比较简短。

-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。

-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。

-D：列出可用于抓包的接口。

将会列出接口的数值编号和接口名，它们都可以用于"-i"后。

-F：从文件中读取抓包的表达式。

若使用该选项，则命令行中给定的其他表达式都将失效。

-w：将抓包数据输出到文件中而不是标准输出。

可以同时配合"-G

time"选项使得输出文件每time秒就自动切换到另一个文件。

可通过"-r"选项载入这些文件以进行分析和打印。

-r：从给定的数据包文件中读取数据。

使用"-"表示从标准输入中读取。

class="cnblogs_code_toolbar">
alt="复制代码"
data-src="https://assets.cnblogs.com/images/copycode.gif"

class="01">表达式用于筛选输出哪些类型的数据包，如果没有给定表达式，所有的数据包都将输出，否则只输出表达式为true的包。

在表达式中出现的shell元字符建议使用单引号包围。

class="01">tcpdump的表达式由一个或多个"单元"组成，每个单元一般包含ID的修饰符和一个ID(数字或名称)。

有三种修饰符：

class="01">(1).type：指定ID的类型。

class="01">可以给定的值有host/net/port/portrange。

例如"host

foo"，"net

class="01">(2).dir：指定ID的方向。

dst/src

class="01">(3).proto：通过给定协议限定匹配的数据包类型。

class="01">常用的协议有tcp/udp/arp/ip/e***r/icmp等，若未给定协议类型，则匹配所有可能的类型。

例如"tcp

port

class="01">所以，一个基本的表达式单元格式为"proto

dir

data-src="https://images2018.cnblogs.com/blog/733013/201806/733013-20180621121410609-1741572810.png">

class="01">除了使用修饰符和ID组成的表达式单元，还有关键字表达式单元：gateway，broadcast，less，greater以及算术表达式。

and

ftp-data"，这表示筛选的数据包要满足"主机为foo且端口不是ftp(端口21)和ftp-data(端口20)的包"，常用端口和名字的对应关系可在linux系统中的/etc/service文件中找到。

dst

domain"意义相同，都表示包的协议为tcp且目的端口为ftp或ftp-data或domain(端口53)。

class="01">使用括号"()"可以改变表达式的优先级，但需要注意的是括号会被shell解释，所以应该使用反斜线"\"转义为"\(\)"，在需要的时候，还需要包围在引号中。

注意，tcpdump只能抓取流经本机的数据包。
class="01">(1).默认启动

class="01">默认情况下，直接启动tcpdump将监视第一个网络接口(非lo口)上所有流通的数据包。

这样抓取的结果会非常多，滚动非常快。

class="01">(2).监视指定网络接口的数据包

class="01">如果不指定网卡，默认tcpdump只会监视第一个网络接口，如eth0。

class="01">(3).监视指定主机的数据包，例如所有进入或离开longshuai的数据包

class="01">(4).打印helios<-->hot或helios<-->ace之间通信的数据包

class="01">(5).打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包

class="01">(6).截获主机hostname发送的所有数据

class="01">(7).监视所有发送到主机hostname的数据包

class="01">(8).监视指定主机和端口的数据包

123端口进行监视(123为ntp的服务端口)

class="01">(10).监视指定网络的数据包，如本机与192.168网段通信的数据包，"-c

class="01">(11).打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)

class="01">(12).抓取ping包