tcpdump抓包高级用法

tcpdump 抓包参数TCPDump抓包参数是网络工程师在进行网络数据包分析时经常使用的工具。

通过使用不同的参数，可以提取出特定的网络数据包，从而更好地了解网络通信过程中发生的问题。

本文将介绍一些常用的TCPDump抓包参数，并说明它们的作用和用法。

1. -i 参数：指定抓包的网络接口。

例如，使用命令“tcpdump -i eth0”可以抓取eth0接口上的网络数据包。

2. -c 参数：指定抓包的数据包数量。

例如，使用命令“tcpdump -c 100”可以抓取100个数据包后停止。

3. -n 参数：禁止将网络地址和端口号解析为名称。

使用该参数可以提高抓包效率，并且避免了DNS解析的开销。

4. -s 参数：指定抓取数据包的长度。

例如，使用命令“tcpdump -s 100”可以抓取每个数据包的前100个字节。

5. -w 参数：将抓取的数据包保存到文件中。

例如，使用命令“tcpdump -w capture.pcap”可以将抓取的数据包保存到名为capture.pcap的文件中。

6. -r 参数：从文件中读取数据包进行分析。

例如，使用命令“tcpdump -r capture.pc ap”可以分析名为capture.pcap的数据包文件。

7. -A 参数：以ASCII文本形式显示数据包的内容。

使用该参数可以方便地查看数据包中的具体信息。

8. -e 参数：显示数据包的以太网帧头部信息。

使用该参数可以查看源MAC地址和目的MAC地址等信息。

9. -v 参数：增加详细输出。

使用该参数可以获得更多关于数据包的信息，如IP头部信息和TCP头部信息等。

10. -X 参数：以十六进制和ASCII形式显示数据包的内容。

使用该参数可以同时查看数据包的二进制和可读形式。

11. -q 参数：静默模式。

使用该参数可以减少输出信息，只显示关键信息。

12. -tt 参数：显示时间戳。

使用该参数可以查看数据包抓取的时间。

13. -S 参数：显示绝对序号。

tcpdump用法tcpdump是一个功能强大的网络分析工具，能够捕获网络上的数据包，用于网络故障排除、网络性能监控以及网络安全审计等目的。

它支持多种网络协议，支持文本输出和二进制输出。

本文将介绍tcpdump的使用方法，以及它的参数详解。

#### 一、基本用法tcpdump的基本用法非常简单：```tcpdump [options]```它默认以单个模式运行，在一次持续抓包过程中，一直以标准输出格式显示网络数据包，每条信息显示一个数据包信息，直到用户中断或者网络停止发包为止。

#### 二、抓包参数tcpdump参数繁多，但常用参数主要有以下几类：**1.滤参数*** -net据子网抓包，支持IPv4和IPv6，比如`-net192.168.1.0/24`* -host据网络主机抓包，支持IPv4和IPv6，比如`-host 192.168.1.1`* -port据端口号抓包，比如`-port 80`**2.示参数*** -X示数据包的十六进制与ASCII文本，通常用于检测网络攻击和病毒* -v示更详细的抓取信息，比如IP地址、端口号等* -vv示更详细的抓取信息，同时把协议中的详细信息也显示出来**3.能参数*** -r 以二进制文件的方式读取已保存的抓包数据，一般用于进行离线分析* -w 以二进制文件的方式将抓取的数据保存下来，方便以后分析* -c定抓包的数量，比如`-c 1000`表示只抓前1000条数据包 #### 三、高级用法tcpdump还支持一些高级参数，用于更加精确的抓包，主要有：**1.络接口*** -i定抓包的网络接口，比如`-i eth0`表示从eth0接口抓包 * -B定抓包的带宽，比如`-B 500K`表示最高抓取500K的数据 **2.滤表达式*** -e取数据的过滤表达式，比如`-e tcp[14:2]==0x0514`表示过滤TCP标志和序号为0x0514的数据包* -d取数据的过滤表达式，等效于-e参数**3.符编码*** -n取数据时，不解析DNS和hostname* -t 不显示时间戳* -S示源地址和目的地址* -c定抓取数据包个数* -q 以简单的形式显示，不显示协议头信息####、实战以抓取IP地址为192.168.1.1的80端口的HTTP请求为例，使用tcpdump命令如下：```tcpdump -i eth0 -nn -s 0 -XS host 192.168.1.1 and port 80```以上命令的含义为，从网卡eth0接口上抓取长度为0的数据包，目标地址为192.168.1.1，且端口号为80的数据包，并以十六进制与ASCII格式显示出来。

Linux命令高级技巧通过tcpdump命令进行网络抓包和分析Linux是一款广泛应用于服务器和嵌入式设备的操作系统，具有强大的功能和灵活性。

与其他操作系统相比，Linux提供了丰富的命令行工具，其中之一就是tcpdump命令。

tcpdump是一款用于抓取网络数据包并进行分析的强大工具，它可以帮助用户深入了解网络通信，解决网络故障和排查安全问题。

在本文中，我们将介绍如何使用tcpdump 命令进行网络抓包和分析。

一、什么是网络抓包？网络抓包是指在计算机网络中捕获和保存网络数据包的过程。

网络数据包是信息在网络中传输的基本单位，它包含了源IP地址、目标IP 地址、协议类型、端口号等重要信息。

通过抓包，我们可以观察和分析网络通信的行为，帮助我们了解网络设备之间的交互过程，诊断网络故障，以及排查安全问题。

二、tcpdump命令的基本用法tcpdump命令是一款基于命令行的工具，用于捕获和分析网络数据包。

下面是tcpdump命令的基本用法：```tcpdump [选项] [表达式]```其中，选项用于配置tcpdump的行为，表达式用于过滤需要捕获的数据包。

下面是一些常用的选项：- `-i`：指定要监听的网络接口。

- `-n`：禁用主机名解析，显示ip地址而非域名。

- `-X`：以16进制和ASCII码显示数据包内容。

- `-c`：指定捕获数据包的数量。

- `-s`：指定捕获数据包的最大长度。

例如，我们可以使用以下命令来捕获网络接口eth0上的前10个数据包，并以16进制和ASCII码显示数据包内容：```tcpdump -i eth0 -c 10 -X```三、tcpdump命令的高级用法除了基本用法外，tcpdump命令还提供了一些高级的用法，帮助用户更加灵活和精确地进行网络抓包和分析。

1. 根据协议过滤数据包tcpdump支持根据不同协议类型进行数据包的过滤。

常见的协议包括TCP、UDP、ICMP等。

Linux命令高级技巧使用tcpdump进行网络抓包TCPDump是一种常用的网络抓包工具，可以在Linux系统中使用。

它可以捕获网络数据包，并提供详细的分析和监测功能。

本文将介绍一些高级技巧，帮助您更好地使用tcpdump工具进行网络抓包。

1. 安装和基本使用要使用tcpdump，首先需要在Linux系统上安装它。

在终端中输入以下命令来安装tcpdump：```sudo apt-get install tcpdump```安装完成后，输入以下命令来开始抓包：```sudo tcpdump -i <interface>```其中，<interface>是要抓取网络流量的网络接口，如eth0或wlan0。

2. 抓取指定端口的数据包有时候，我们只对某个特定端口的网络流量感兴趣。

您可以使用以下命令来抓取指定端口的数据包：```sudo tcpdump -i <interface> port <port_number>```其中，<port_number>是您感兴趣的端口号。

3. 根据源IP或目标IP过滤数据包如果您只想抓取特定源IP或目标IP的数据包，可以使用以下命令进行过滤：```sudo tcpdump -i <interface> src <source_IP>```或```sudo tcpdump -i <interface> dst <destination_IP>```其中，<source_IP>是源IP地址，<destination_IP>是目标IP地址。

4. 保存抓包结果为文件您可以将抓到的数据包保存到文件中，以便稍后分析。

使用以下命令将数据包保存到文件：```sudo tcpdump -i <interface> -w <output_file>```其中，<output_file>是保存数据包的文件名。

tcpdump常用命令用法tcpdump是一个常用的网络抓包工具，可以用来分析网络流量，下面是一些常见的tcpdump命令用法：1. 抓取指定网卡的所有流量：```tcpdump -i eth0```这里的eth0是网卡的名称，可以根据实际情况替换。

2. 抓取指定源IP和目标IP的流量：```tcpdump src <source_ip> and dst <destination_ip>```source_ip和destination_ip分别是源IP和目标IP地址。

3. 抓取指定端口的流量：```tcpdump port <port_number>```port_number是要抓取的端口号。

4. 抓取指定协议的流量：```tcpdump -v icmp```这里的icmp是要抓取的协议，可以是icmp、tcp、udp等。

5. 抓取指定主机的流量：```tcpdump host <hostname>```hostname是要抓取的主机名。

6. 抓取指定长度的流量：```tcpdump less <length>```length是要抓取的数据包长度。

7. 将抓包结果保存到文件中：```tcpdump -w <output_file>```output_file是保存抓包结果的文件名。

8. 从文件中读取抓包结果进行分析：```tcpdump -r <input_file>```input_file是要读取的抓包结果文件名。

这些命令用法只是tcpdump的一部分功能，更详细的使用方法可以参考tcpdump的帮助文档。

Linux命令高级技巧使用tcpdump和wireshark进行网络调试Linux命令高级技巧：使用tcpdump和wireshark进行网络调试在网络调试过程中，了解并掌握一些高级的Linux命令技巧是非常重要的。

其中，tcpdump和wireshark是两个功能强大的工具，它们可以帮助我们分析和调试网络流量。

本文将介绍如何使用tcpdump和wireshark进行网络调试的高级技巧。

一、tcpdump的高级技巧1. 抓取特定端口的数据包为了针对性地分析特定端口上的数据包，我们可以使用tcpdump的过滤功能。

例如，如果我们只想抓取UDP协议的数据包，则可以使用以下命令：```tcpdump -i eth0 udp```如果我们只想抓取目的端口为80的TCP数据包，则可以使用以下命令：```tcpdump -i eth0 tcp dst port 80```通过使用不同的过滤条件，我们可以更加精确地捕获需要的数据包，从而便于后续的分析与调试。

2. 抓取特定IP地址的数据包类似于抓取特定端口的数据包，我们也可以使用tcpdump来抓取特定IP地址的数据包。

以下是一个抓取源IP地址为192.168.1.10的数据包的示例命令：```tcpdump -i eth0 src host 192.168.1.10```通过这种方式，我们可以快速过滤出与目标IP地址相关的数据包，有助于我们更加专注地进行网络调试。

3. 实时输出抓包结果tcpdump默认会将抓包结果输出到屏幕上，这在一些情况下可能不太方便。

为了将抓包结果实时保存到文件中，我们可以使用以下命令：```tcpdump -i eth0 -w capture.pcap```通过使用-w参数，我们可以将抓包结果保存到指定的文件中，便于后续分析与回放。

二、wireshark的高级技巧1. 分析特定协议的数据包wireshark内置了许多过滤器，可以帮助我们针对特定协议进行数据包分析。

tcpdump常用抓包命令一、什么是tcpdumptcpdump是一款用于抓取网络数据包的功能强大的命令行工具。

它可以通过监听网络接口，捕获和分析传输过程中的数据包，对网络问题进行排查和故障分析。

二、安装tcpdump在大多数Linux发行版中，tcpdump已经默认安装。

如果您的系统没有预装tcpdump，可以通过以下命令进行安装：sudo apt-get install tcpdump # Debian/Ubuntusudo yum install tcpdump # CentOS/RHEL三、tcpdump的基本用法1. 抓取数据包使用tcpdump进行抓包非常简单，只需要在命令行中输入tcpdump命令即可开始捕获所有的数据包。

tcpdump2. 指定网络接口如果有多个网络接口可以选择，可以使用-i参数指定要监听的网络接口。

例如，要监听eth0接口的数据包，可以使用以下命令：tcpdump -i eth03. 保存捕获的数据包默认情况下，tcpdump会将捕获的数据包输出到标准输出。

如果需要将数据包保存到文件中，可以使用-w参数指定文件名。

例如，将数据包保存到capture.pcap文件中：tcpdump -w capture.pcap4. 显示捕获的数据包内容通过默认设置，tcpdump只会以十六进制格式显示捕获的数据包。

如果想要查看更多的信息，可以使用-A参数以ASCII格式显示数据包内容。

例如：tcpdump -A5. 显示源和目标IP地址如果只需要查看数据包的源和目标IP地址，而不关心其他详细内容，可以使用-n 参数。

例如：tcpdump -n四、高级用法1. 指定抓包数量默认情况下，tcpdump会一直抓包直到用户终止程序。

如果只需要抓取固定数量的数据包，可以使用-c参数指定要抓取的包数量。

例如，只抓取10个数据包：tcpdump -c 102. 使用过滤器tcpdump可以使用过滤器来指定要抓取的数据包的条件。

tcpdump使用方法一、什么是tcpdumptcpdump是一种在Linux和Unix操作系统上使用的网络抓包工具。

它可以捕获网络数据包并将其显示或保存到文件中，以供后续分析和诊断。

tcpdump可以用于调试网络问题、监视网络流量、分析网络协议等。

二、安装tcpdump1.在Ubuntu上安装tcpdump：sudo apt-get install tcpdump2.在CentOS上安装tcpdump：sudo yum install tcpdump三、基本用法1.捕获所有数据包：sudo tcpdump -i eth0-i选项指定要监听的接口，eth0为网卡接口名称。

2.捕获指定端口的数据包：sudo tcpdump -i eth0 port 80port选项指定要监听的端口号，80为HTTP服务默认端口号。

3.捕获指定IP地址的数据包：sudo tcpdump -i eth0 host 192.168.1.100host选项指定要监听的IP地址，192.168.1.100为目标IP地址。

4.捕获指定协议类型的数据包：sudo tcpdump -i eth0 icmpicmp为ICMP协议类型。

5.捕获指定源IP地址和目标IP地址之间的数据包：sudo tcpdump -i eth0 src 192.168.1.100 and dst 192.168.1.200 src选项指定源IP地址，dst选项指定目标IP地址。

6.保存抓包结果到文件：sudo tcpdump -i eth0 -w capture.pcap-w选项指定保存到文件的名称，capture.pcap为文件名。

7.读取保存的抓包结果：sudo tcpdump -r capture.pcap-r选项指定读取文件的名称，capture.pcap为文件名。

四、高级用法1.显示数据包详细信息：sudo tcpdump -i eth0 -v-v选项可以显示更详细的信息，如源地址、目标地址、协议类型等。

9个tcpdump使⽤实例tcpdump能帮助我们捕捉并保存⽹络包，保存下来的⽹络包可⽤于分析⽹络负载情况，包可通过tcpdump命令解析，也可以保存成后缀为pcap的⽂件，使⽤wireshark等软件进⾏查看。

以下将给出9个使⽤tcpdump的例⼦，以说明tcpdump的具体使⽤⽅法。

1.针对特定⽹⼝抓包(-i选项)当我们不加任何选项执⾏tcpdump时，tcpdump将抓取通过所有⽹⼝的包；使⽤-i选项，我们可以在某个指定的⽹⼝抓包：linux:/tmp/lx # tcpdump -i eth0tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes10:50:28.607429 IP 10.70.121.92.autodesk-lm > 10.71.171.140.ssh: . ack 116 win 6495110:50:28.607436 IP 10.71.171.140.ssh > 10.70.121.92.autodesk-lm: P 116:232(116) ack 1 win 1286410:50:30.384195 arp who-has 128.128.128.35 tell 128.128.128.35以上例⼦中，tcpdump抓取所有通过eth0的包。

2.抓取指定数⽬的包(-c选项)默认情况下tcpdump将⼀直抓包，直到按下”ctrl+c”中⽌，使⽤-c选项我们可以指定抓包的数量：linux:/tmp/lx # tcpdump -c 2 -i eth0tcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes10:58:05.656104 IP 10.71.171.140.ssh > 10.70.121.92.autodesk-lm: P 1210443473:1210443589(116) ack 2583117929 win 1286410:58:05.657074 IP 10.70.121.92.autodesk-lm > 10.71.171.140.ssh: . ack 116 win 652112 packets captured6 packets received by filter0 packets dropped by kernel以上例⼦中，只针对eth0⽹⼝抓2个包。

tcpdump抓包条件tcpdump是一款强大的网络抓包工具，可用于捕获和分析网络数据包。

在使用tcpdump时，可以通过设置特定的条件来过滤和捕获感兴趣的数据包。

以下是一些常见的抓包条件：1. 捕获特定网络接口的数据包：使用-i选项可以指定抓取数据包的网络接口。

例如，如果希望捕获eth0接口上的数据包，可以使用以下命令：```tcpdump -i eth0```2. 指定源和目的IP地址：使用src和dst选项可以过滤来源或目的IP地址。

例如，如果希望只捕获来自10.0.0.1的数据包，可以使用以下命令：```tcpdump src 10.0.0.1```类似地，可以使用dst选项来指定目的IP地址。

3. 指定协议类型：使用proto选项可以过滤特定的协议类型。

例如，如果希望只捕获TCP协议的数据包，可以使用以下命令：```tcpdump proto TCP```4. 指定端口号：使用port选项可以过滤特定的端口号。

例如，如果希望只捕获目的端口号为80的数据包，可以使用以下命令：```tcpdump dst port 80```类似地，可以使用src port选项来指定源端口号。

5. 指定数据包长度：使用len选项可以过滤特定长度的数据包。

例如，如果希望只捕获长度大于100字节的数据包，可以使用以下命令：```tcpdump len greater 100```类似地，可以使用len less选项来指定长度小于某个值的数据包。

6. 使用逻辑运算符：可以使用逻辑运算符来组合多个过滤条件。

例如，如果希望捕获源IP地址为10.0.0.1并且目的端口号为80的数据包，可以使用以下命令：```tcpdump src 10.0.0.1 and dst port 80```7. 如何保存抓包数据：默认情况下，tcpdump将抓到的数据包输出到终端。

如果希望将数据包保存到文件中进行进一步分析，可以使用-w选项。

使用tcpdump命令捕获和分析网络数据包在网络中，数据包是网络通信的基本单位。

了解和分析网络数据包的内容和结构，对于网络管理员和安全专家来说是非常重要的。

tcpdump是一款功能强大的网络数据包分析工具，它能够捕获网络数据包并提供详细的分析信息。

本文将介绍如何使用tcpdump命令捕获和分析网络数据包。

一、安装tcpdump在开始使用tcpdump之前，首先需要在你的计算机上安装tcpdump。

tcpdump在大多数Linux和UNIX系统中都是默认安装的，可以使用以下命令来检查是否已经安装了tcpdump：```tcpdump -v```如果已经安装，则会显示tcpdump的版本信息；如果未安装，则需要使用以下命令来安装tcpdump：```sudo apt-get install tcpdump```二、捕获网络数据包使用tcpdump捕获网络数据包非常简单，只需在终端中输入以下命令：```sudo tcpdump```该命令将会开始捕获所有经过计算机网络接口的数据包。

然而，这样会产生大量的输出信息，不便于分析。

为了提高分析效率，可以使用一些选项来限制捕获的数据包范围。

1. 指定网络接口如果你有多个网络接口，可以使用-i选项指定要捕获的网络接口。

例如，要捕获eth0接口的数据包，可以使用以下命令：```sudo tcpdump -i eth0```2. 指定捕获数量使用-c选项可以指定要捕获的数据包数量。

例如，要只捕获10个数据包，可以使用以下命令：```sudo tcpdump -c 10```3. 指定捕获过滤器可以使用过滤器来指定要捕获的数据包类型。

例如，要只捕获HTTP协议的数据包，可以使用以下命令：```sudo tcpdump port 80```以上命令将只捕获目标端口为80的数据包。

三、分析网络数据包捕获到网络数据包后，可以使用tcpdump提供的一些选项来进行数据包分析。

tcpdump的用法tcpdump是一个用于网络数据包分析的工具，它可以捕获和显示经过计算机网络的数据包。

以下是一些常用的tcpdump用法和示例：1. 基本语法：```tcpdump [选项] [表达式]```2. 显示所有网络接口的数据包：```tcpdump -i any```3. 指定网络接口进行数据包捕获：```tcpdump -i eth0```4. 指定捕获的数据包数量：```tcpdump -c 10```5. 指定捕获的数据包字节数量：```tcpdump -s 100```6. 指定捕获的数据包大小限制：```tcpdump -s0 -w output.pcap```7. 指定捕获的数据包方向（in、out、in/out）： ```tcpdump -i eth0 'src host 192.168.0.1'```8. 指定捕获的数据包源IP地址和目的端口： ```tcpdump 'src host 192.168.0.1 and dst port 80' ```9. 指定捕获的数据包协议类型：```tcpdump icmp```10. 指定捕获的数据包之外的其他数据包：```tcpdump not icmp```11. 将数据包捕获结果保存为文件：```tcpdump -w output.pcap```12. 从文件中读取数据包进行分析：```tcpdump -r input.pcap```以上是tcpdump的一些常用用法和示例，你可以根据实际需求进行调整和组合使用。

请注意，tcpdump需要以root用户或具有特殊权限的用户身份运行。

tcpdump抓包高级用法【表达式】tcpdump –i ethx ether[xx:yy]=0xabcde… -nn【说明】普通的tcpdump抓包后面直接跟主机，端口或协议等过滤条件，而这种抓包方法在某些环境下是无法使用的，如有QinQ，lwapp，wltp，pppoe等协议封装时，要抓电脑真实IP的数据包便实现不了。

高级抓包方法可以满足，特别是在wlan环境下，经过我们设备的数据流都是经过隧道封装的，所以只能用高级抓包方法。

高级抓包方法中的过滤条件为ether[xx:yy]=0xabcd….，表示从以太网帧头部开始偏移xx字节后的yy个字节的值是十六进制abcd….。

如tcpdump –i eth0 ether[92:4]=0xab0d4f9c –nn，表示在eth0抓取符合下面条件的数据包，从以太网帧第92字节开始，后面4个字节的值为十六进制ab0d4f9c的所有数据包。

这种抓包方法要求我们事先算好过滤条件对应的十六进制及其偏移值。

下面举个例子说明。

【案例】如附件中的数据包，是wlan环境下隧道封装的数据包，用抓包软件打开只能看到隧道头地址，无法看到隧道内真实的IP地址。

隧道内真实的IP所在的段为111.14.0.0/16，现要抓取111.14.236.138这个地址的数据包。

1．将111.14.236.138这个IP地址转换为十六进制为0x6f0eec8a2．在eth0将所有的数据包抓100个下来（tcpdump –i eth0 –s0 –c 100 –w /tmp/test.pcap），如附件，用wireshark打开，找到隧道内真实IP地址，再算出真实IP地址偏移以太网头的字节数（这里应该会有问到怎样找到隧道内真实的IP头，请参考文章自定义协议剥离配置说明）。

3．这里已经算出来，111.14.0.0/16段的上行数据偏移以太网头92字节，下行数据偏移以太网头96字节，所以抓取111.14.236.138这个地址的所有数据包，tcpdump表达式应该如下:tcpdump –i eth0 ether[92:4]=0x6f0eec8a or ether[96:4]=0x6f0eec8a –nn抓包结果如下图：。

tcpdump常用抓包命令TCPDump是一个基于命令行的抓包工具，它可以帮助网络管理员和安全专家捕获和分析数据包。

在网络故障排除、网络性能分析和网络安全检测等方面都有着广泛的应用。

本文将介绍TCPDump的常用抓包命令。

一、基本使用1.抓取指定网卡的数据包tcpdump -i eth0-i选项后面跟要抓取数据包的网卡名称，这里以eth0为例。

2.保存抓取到的数据包tcpdump -i eth0 -w capture.pcap-w选项后面跟要保存数据包的文件名，这里以capture.pcap为例。

3.读取已保存的数据包文件tcpdump -r capture.pcap-r选项后面跟要读取的数据包文件名，这里以capture.pcap为例。

二、过滤器使用1.根据IP地址过滤数据包tcpdump host 192.168.1.1host选项后面跟要过滤的IP地址，这里以192.168.1.1为例。

2.根据端口号过滤数据包tcpdump port 80port选项后面跟要过滤的端口号，这里以80为例。

3.根据协议类型过滤数据包tcpdump icmpicmp表示Internet控制报文协议。

4.组合使用多个条件进行过滤tcpdump host 192.168.1.1 and port 80and表示“与”的关系，即同时满足两个条件。

tcpdump host 192.168.1.1 or port 80or表示“或”的关系，即满足其中一个条件即可。

5.使用逻辑运算符进行复杂过滤tcpdump 'src net 192.168.1 and (dst net 10 or dst net 172)'这里使用了括号和逻辑运算符进行复杂的过滤，筛选出源IP地址为192.168.1开头，目的IP地址为10或172开头的数据包。

三、高级使用1.抓取指定数量的数据包tcpdump -c 100-c选项后面跟要抓取的数据包数量，这里以100为例。

tcpdump抓包条件（实用版）目录1.tcpdump 简介2.tcpdump 抓包条件概述3.常用抓包条件4.高级抓包条件5.总结正文【1.tcpdump 简介】tcpdump 是一种常用的网络数据包捕获和分析工具，可运行在 Linux、Unix 等系统上。

它可以将网络接口上的数据包捕获并复制到本地机器上进行分析，帮助用户深入了解网络的运行状态和问题。

【2.tcpdump 抓包条件概述】在使用 tcpdump 进行抓包时，可以通过设置不同的条件来筛选和捕获特定的数据包。

这些条件可以分为基本条件和高级条件两类。

【3.常用抓包条件】常用的抓包条件包括：- 网络接口：指定要捕获数据包的网络接口，如 eth0、eth1 等。

- 协议类型：指定要捕获的数据包协议类型，如 ip、tcp、udp 等。

- 源地址和目标地址：指定数据包的源地址和目标地址，可以是 IP 地址或 MAC 地址。

- 源端口和目标端口：指定数据包的源端口和目标端口，用于过滤TCP 和 UDP 协议的数据包。

【4.高级抓包条件】除了常用的抓包条件外，tcpdump 还支持一些高级条件，如：- 捕获时间范围：指定要捕获的数据包的时间范围，可以是绝对时间或相对时间。

- 数据包大小：指定要捕获的数据包大小范围，单位为字节。

- 传输方向：指定要捕获的数据包传输方向，可以是接收方向或发送方向。

- 链路层协议：指定要捕获的数据包链路层协议类型，如 ARP、RARP 等。

【5.总结】通过使用 tcpdump 的抓包条件，用户可以灵活地筛选和捕获特定的网络数据包，进一步分析网络问题和优化网络性能。

Tcpdump是一款在Linux和UNIX系统中的数据包捕获工具，可以对网络数据进行实时分析和嗅探，提供对网络流量的详细解析。

以下是一些tcpdump的高级用法：
1. 过滤器：tcpdump支持使用过滤器来过滤要捕获的数据包。

可以使用不同的参数和语法来指定过滤条件，例如：
-i：指定要监听的网络接口。

-s：指定要截断的数据包大小。

host：指定要监听的主机名或IP地址。

port：指定要监听的端口号。

2. 统计：可以使用tcpdump来统计网络流量和数据包的数量。

可以使用“-c”参数来指定要捕获的数据包数量，也可以使用“-G”参数来指定捕获数据包的时间间隔。

3. 保存数据：可以使用“-w”参数将捕获的数据包保存到文件中，以便后续分析。

可以使用“-r”参数来读取保存的数据包文件，并对其进行分析。

4. 解析数据包：tcpdump可以解析各种网络协议的数据包，例如TCP、UDP、ICMP等。

可以使用“-A”参数来将数据包内容以ASCII码形式呈现。

5. 显示时间戳：可以使用“-tttt”参数显示数据包的时间戳。

6. 逆向DNS查询：可以使用“-n”参数来关闭tcpdump的DNS查询功能，同时使用“-nn”参数可以关闭逆向DNS查询。

7. 切换到root用户：tcpdump需要root权限才能正常运行。

可以使用“sudo”命令或者切换到root用户来运行tcpdump。

这些是tcpdump的一些高级用法，您可以尝试使用这些参数和语法来捕获和分析网络数据包。

但请注意，在使用tcpdump时应遵守相关的法律法规，并避免非法监听他人的网络流量。

tcpdump常用命令TCPDump是一个非常强大的网络抓包工具，它可以用来捕获和分析网络数据包。

在网络故障排除和网络安全方面，TCPDump是非常有用的工具。

在本文中，我们将介绍TCPDump的一些常用命令。

一、基本命令1. tcpdump这是最基本的命令，它会启动TCPDump并开始捕获数据包。

默认情况下，它会捕获所有接口上的数据包。

2. tcpdump -i这个命令可以让你选择要捕获的接口。

例如，如果你想只捕获eth0接口上的数据包，可以使用以下命令：tcpdump -i eth03. tcpdump -n这个命令可以让你禁止DNS解析。

默认情况下，TCPDump会尝试对IP地址进行DNS解析。

但是，在某些情况下，DNS解析可能会导致性能问题。

4. tcpdump -c这个命令可以让你指定要捕获的数据包数量。

例如，如果你只想捕获前10个数据包，则可以使用以下命令：tcpdump -c 105. tcpdump -w这个命令可以将捕获到的数据包保存到文件中。

例如：tcpdump -w capture.pcap二、过滤器命令1. tcpdump host这个命令允许你只捕获与特定主机通信的数据包。

例如，如果你想只捕获与IP地址为192.168.1.1的主机通信的数据包，则可以使用以下tcpdump host 192.168.1.12. tcpdump port这个命令允许你只捕获特定端口上的数据包。

例如，如果你想只捕获TCP端口80上的数据包，则可以使用以下命令：tcpdump port 803. tcpdump src这个命令允许你只捕获从特定源IP地址发送的数据包。

例如，如果你想只捕获从IP地址为192.168.1.1发送的数据包，则可以使用以下命令：tcpdump src 192.168.1.14. tcpdump dst这个命令允许你只捕获发送到特定目标IP地址的数据包。

例如，如果你想只捕获发送到IP地址为192.168.1.1的数据包，则可以使用以下tcpdump dst 192.168.1.15.tcpdump -A这个命令可以在输出时显示ASCII码，它会将每个数据包解析成可读文本。

tcpdump命令用法1. 什么是tcpdump命令tcpdump是一款非常强大的网络抓包工具，可以在Linux和UNIX系统上使用。

它能够捕获和分析网络数据包，提供了详细且全面的网络流量信息，对于网络调试和故障排除非常有帮助。

2. tcpdump的基本用法2.1 安装tcpdump在大部分Linux发行版上，tcpdump已经预装，可以直接使用。

如果没有安装，可以使用以下命令进行安装：sudo apt-get install tcpdump2.2 tcpdump的基本语法tcpdump [options] [filters]其中，options是可选参数，用来指定一些tcpdump的行为和输出格式；filters 是可选参数，用来过滤捕获的数据包。

2.3 常用选项参数以下是一些常用的选项参数：•-i: 指定网络接口，如-i eth0表示使用eth0接口进行抓包。

•-c: 指定抓包数量，如-c 10表示只抓取10个数据包。

•-n: 不解析IP地址和端口号，直接显示IP地址和端口号，提高抓包效率。

•-w: 将抓包结果保存到文件中，如-w capture.pcap。

•-r: 从文件中读取抓包结果进行分析，如-r capture.pcap。

2.4 过滤器的使用过滤器用来过滤捕获的数据包，可以根据协议、源地址、目的地址、端口号等进行筛选。

以下是一些常用的过滤器：•host: 根据IP地址过滤数据包，如host 192.168.1.1。

•port: 根据端口号过滤数据包，如port 80。

•src和dst: 根据源地址和目的地址过滤数据包，如src 192.168.1.1和dst 192.168.1.2。

•tcp和udp: 根据传输层协议过滤数据包，如tcp port 80和udp port 53。

3. tcpdump进阶用法3.1 显示详细的包信息使用-v选项可以显示更详细的包信息，包括源地址、目的地址、协议、TTL、序号等。

当然，这里有一些更简单的tcpdump抓包高级用法示例：1. **抓取特定IP的数据包**:如果你想抓取与特定IP地址相关的数据包，可以使用`host`或`ip`过滤器。

```bashtcpdump host 192.168.1.100```这将捕获源或目的地址为192.168.1.100的所有数据包。

2. **抓取特定端口的流量**:使用`port`过滤器可以只抓取特定端口的数据包。

```bashtcpdump port 80```这将捕获所有目的或源端口为80（HTTP）的数据包。

3. **按协议筛选**:你可以根据协议类型筛选数据包，例如只抓取TCP或UDP数据包。

```bashtcpdump tcp```这将只显示TCP协议的数据包。

4. **过滤特定时间段**:结合`time`过滤器，你可以抓取特定时间范围内的数据包。

```bashtcpdump time > now - 10s and time < now + 5s```这将捕获当前时间前后5秒内的数据包。

5. **保存和查看抓包文件**:使用`-w`选项可以将抓包数据保存到文件中，并使用`-r`选项读取文件。

```bashtcpdump -w output.pcaptcpdump -r output.pcap这将首先将抓包数据保存到output.pcap文件中，然后从该文件中读取数据包。

6. **只显示特定的数据包信息**:你可以指定要显示的协议字段，例如只显示源/目的地址和端口。

```bashtcpdump src 192.168.1.100 and port 80 -n -e -q -c 5```这将只显示前5个源地址为192.168.1.100且端口为80的数据包的源/目的地址和端口信息。

7. **对重复的包进行计数**:使用`-c`选项可以对特定条件下的重复数据包进行计数。

```bashtcpdump host 192.168.1.100 -c 5```这将只显示与主机192.168.1.100相关的前5个数据包。

linux tcpdump命令参数及用法详解--linux下抓包网络分析linux下抓包封信工具Tcpdump详解采用命令行方式，它的命令格式为：tcpdump [ -adeflnNOpqStvx ] [ -c 数量] [ -F 文件名][ -i 网络接口] [ -r 文件名] [ -s snaplen ][ -T 类型] [ -w 文件名] [表达式]1. tcpdump的选项介绍-a 将网络地址和广播地址转变成名字；-d 将匹配信息包的代码以人们能够理解的汇编格式给出；-dd 将匹配信息包的代码以c语言程序段的格式给出；-ddd 将匹配信息包的代码以十进制的形式给出；-e 在输出行打印出数据链路层的头部信息；-f 将外部的Internet地址以数字的形式打印出来；-l 使标准输出变为缓冲行形式；-n 不把网络地址转换成名字；-t 在输出的每一行不打印时间戳；-v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；-vv 输出详细的报文信息；-c 在收到指定的包的数目后，tcpdump就会停止；-F 从指定的文件中读取表达式,忽略其它的表达式；-i 指定监听的网络接口；-r 从指定的文件中读取包(这些包一般通过-w选项产生)；-w 直接将包写入文件中，并不分析和打印出来；-T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）第一种是关于类型的关键字，主要包括host，net，port, 例如host ，指明是一台主机，net 指明是一个网络地址，port 23 指明端口号是23。

如果没有指定类型，缺省的类型是host.第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。

举例说明，src ,指明ip包中源地址是, dst net 指明目的网络地址是。