抓包就靠 tcpdump?别只会 -i eth0!这些技巧才是核心操作

于 2025-07-22 11:22:21 发布
阅读量1k 收藏 12
点赞数 29
CC 4.0 BY-SA版权
文章标签: tcpdump 测试工具 网络 php web安全 安全 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wly55690/article/details/149531291

抓包就靠 tcpdump?别只会 -i eth0!这些技巧才是核心操作

作为网络安全工程师,tcpdump是我们日常工作中不可或缺的利器。但很多新手只会用tcpdump -i eth0这样的基础命令,错过了这个工具真正的威力。今天,我就来分享几个tcpdump的高级技巧,让你的网络分析能力更上一层楼!

tcpdump工具命令选项:

图片

所以今天就不整基础语法了,来点实在的 ——

tcpdump 抓包的核心技巧与真实场景用法,一篇打包带走!

1. 抓指定 IP 的包:问题定向排查第一步

tcpdump -i eth0 host 192.168.10.10

还能更精准:

tcpdump -i eth0 src 192.168.10.10      # 抓源地址
tcpdump -i eth0 dst 192.168.10.10      # 抓目的地址

用来确认某个主机是否真的有发/收到包,常用于 ping 不通、连接失败的初查。

2. 抓指定端口的流量(TCP/UDP)

tcpdump -i eth0 port 443               # 抓 HTTPS 流量
tcpdump -i eth0 tcp port 22            # 抓 SSH
tcpdump -i eth0 udp port 53            # 抓 DNS

网络访问慢、卡顿、服务连接不上时,看看有没有 TCP 三次握手或是否有重传。

3. 抓指定协议,判断是应用、网络还是链路问题

tcpdump -i eth0 icmp                   # 抓 ping 包
tcpdump -i eth0 arp                    # 抓 ARP 请求/响应
tcpdump -i eth0 ether proto 0x88cc     # 抓 LLDP 报文(交换机信息)

能快速判断:

  • 是 ARP 不通,还是 IP 不通?
  • 是没收到回应,还是发包压根没出去?

4. 只抓包头:排障看结构足够,别把服务器搞炸了

tcpdump -i eth0 -s 96 -c 100 -w arp.cap

解释一下:

  • -s 96:每包只抓 96 字节头,够看 IP/TCP/UDP头信息
  • -c 100:抓 100 个包就停,避免抓爆磁盘
  • -w:写入文件供 Wireshark 后续分析

实战中你不可能无限抓,总得控制节奏,别光顾着抓包把现场搞炸。

5. 抓两台主机之间的通信 + 写文件

tcpdump -i eth0 host 10.1.1.1 and host 10.1.1.2 -w test.cap

常用于分析双向交互,比如:

  • TCP连接卡在哪一步?
  • 有发没回?回的包有没有异常?

6. 抓 vlan tag 包:做园区网排障绕不开

tcpdump -i eth0 vlan

如果你已经知道 VLAN ID:

tcpdump -i eth0 vlan 20

常用于:

  • 判断 VLAN tag 是否打上了
  • trunk 链路有没有 strip VLAN tag
  • VLAN 间是否真能互通

7. 抓 DNS 报文看解析过程

tcpdump -i eth0 udp port 53 -vvv

看得出来:

  • 具体发了哪个域名?
  • 有没有被 DNS Server 正确回复?
  • 是不是本地 DNS 没配置?

8. 抓 TCP 三次握手:连不上服务必查这一段

tcpdump -i eth0 tcp[13] & 0x02 != 0      # SYN 报文
tcpdump -i eth0 'tcp[tcpflags] & tcp-syn != 0'

进阶组合:

tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn|tcp-ack) != 0'

一看就能知道:

  • 客户端有没有发 SYN?
  • 服务端有没有回 SYN-ACK?
  • 有没有 ACK 丢了?

9. 和 grep 联动,实时排查更丝滑

tcpdump -i eth0 -nn -l | grep 192.168.1.100

如果你在排查混杂的服务请求流量,这一招比你手动翻 .cap 文件快得多。

10. 排查广播风暴、环路问题?

tcpdump -i eth0 broadcast
tcpdump -i eth0 multicast

用来定位:

  • ARP 广播是否异常频繁?(局域网互 ping 一下有无回应)
  • STP/BPDU 是否被错误转发(可能导致环路)
  • 某交换机口是否在无脑转发广播?

这些技巧只是tcpdump强大功能的冰山一角。在网络安全的世界里,每一次抓包分析都可能揭开一个潜在威胁的面纱,或是发现系统优化的新机会。

想成为真正的网络安全高手吗?仅仅掌握工具是不够的,你需要详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

👉1.成长路线图&学习规划👈

要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

在这里插入图片描述
在这里插入图片描述

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程文末领取哈)
在这里插入图片描述

在这里插入图片描述

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

在这里插入图片描述

黑客资料由于是敏感资源,这里不能直接展示哦!(全套教程文末领取哈)

👉4.护网行动资料👈

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

在这里插入图片描述

👉5.黑客必读书单👈

在这里插入图片描述

👉6.网络安全岗面试题合集👈

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
在这里插入图片描述
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

运维系列:tcpdump命令详解
weixin_54626591的博客
01-04 7232
tcpdump命令详解
Linux抓包命令tcpdump使用技巧大全
网络技术联盟站
06-07 1058
tcpdump是一个网络数据分析工具,由Van Jacobson、Craig LeresSteven McCanne在1988年开发。它是一个命令行工具,能够实时地捕获显示通过网络接口传输的数据tcpdump基于libpcap库工作,libpcap是一个跨平台的C/C++库,用于捕获网络数据
Linux tcpdump服务器抓包
qq_39198749的博客
05-25 214
参考文章:https://blog.csdn.net/boling_cavalry/article/details/86771775
tcpdump命令以及简单使用
super_m@n的博客
09-11 1240
0*00首先给出参数: root@kali:~# tcpdump -h tcpdump version 4.9.2 libpcap version 1.9.0 (with TPACKET_V3) OpenSSL 1.1.1c 28 May 2019 Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] ...
tcpdump指定IP端口抓包
weixin_30627381的博客
07-29 2万+
如下指定抓www.baidu.com 并且80端口 保存到test.cap 可以在Windows下面用wireshark打开 tcpdump 'port 80 and host www.baidu.com' -w test.cap 转载于:https://www.cnblogs.com/yuandaozhe/p/5717871.html...
简单的tcpdump抓包使用总结:抓取指定ip指定网卡、指定端口
热门推荐
DHCliaozheng的博客
05-07 10万+
1.今天由于需要抓包研究网络问题,所以研究了一下抓取指定ip指定网卡、指定端口并且输入到文件中 2 tcpdump与Wireshark介绍 在网络问题的调试中,tcpdump应该说是一个必不可少的工具,大部分linux下优秀工具一样,它的特点就是简单而强大。它是基于Unix系统的命令行式的数据嗅探工具,可以抓取流动在网卡上的数据。 默认情况下,tcpdump不会抓取本机内部通讯的...
利用tcpdump对mysql进行抓包操作技巧
01-21
利用tcpdump对mysql进行抓包操作如下所示: 命令如下: 代码如下: tcpdump -s 0 -l -w – dst 192.168.244.10 and port 3306 -i eno16777736 |strings 其中-i指定监听的网络接口,在RHEL 7下,网络接口名不再是...
三十九、【Linux抓包工具】tcpdump命令抓包
小铭同学的博客,持续更新linux操作系统相关技能实践
06-06 826
传输方向的关键字,主要括src , dst ,dst or src, dst and src ,这些关键字指明传输方向,缺省是src or dst关键字。表达式有如下三种类型关键字逻辑运算符组成:主要括host,net,port,如果没有指定类型,缺省的类型是host,抓取所有主机发过来的数据。主要括fddi,ip ,arp,rarp,tcp,udp icmp,802.1Q等,缺省监听所有协议的数据-i 如果不写,默认情况下路由模式抓lan口的数据,网桥模式抓网桥接口br0的数据
Tcpdump命令的使用
fajing_feiyue的博客
03-06 3956
tcpdump 简单来说就是一款抓包工具 一、概述 tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。 不带参数的tcpdump会收集网络中所有的信息头,数据量巨大,必须过滤。 二、选项介绍 -A 以AS
Linux下抓包工具tcpdump应用详解
tanqiuwei的专栏
02-19 3889
./tcpdump -i eth0  -s  5000   -w  test.cap -w   指明把写入哪个文件保存,.cap的文件可以用wireshark打开。 -i     指明哪个网卡,可以通过ifconfig 查看 -s    是指明收多少个   转载:http://www.ylmf.net/linux/tips/2010122818605.html TCPDUMP简介
TCP作业抓包——TCP、HTTP协议
04-05
一、实验目的 学习使用网络抓包软件WireShark,理解网络协议实体之间的交互,巩固所学知识。掌握HTTP请求、响应的报文格式,分析、掌握HTTP请求、响应的过程。 二、实验内容 分析Http协议请求及响应过程,掌握Tcp报文的格式。
Linux 使用tcpdump指令抓包(tcp/udp)
尘风yf的博客
11-25 2万+
使用tcpdump进行抓包,这个命令可以抓取流动在网卡上的数据
tcpdump抓取TCP/IP数据分析
weixin_30729609的博客
11-05 230
一、 tcpdump使用1、首先看下MAN手册TCPDUMP(8)NAMEtcpdump - dump traffic on a networkSYNOPSIStcpdump [ -AdDeflLnNOpqRStuUvxX ] [ -c count ][ -C file_size ] [ -F file ][ -i interface ] [ -m module ] [ -M secret ][ ...
tcpdump 抓包
GNNUXXL的专栏
04-17 3734
Z 使tcpdump 放弃自己的超级权限(如果以root用户启动tcpdump, tcpdump将会有超级用户权限), 并把当前tcpdump的用户ID设置为user, 组ID设置为user首要所属组的ID。17、抓取ip是192.168.1.100且目的端口是22,或源ip是192.168.1.102且目的端口是80的数据-T 将监听到的直接解释为指定的类型的报文,常见的类型有rpc远程过程调用)snmp(简单网络管理协议;如果超过了指定大小,则关闭当前文件,然后在打开一个新的文件。
tcpdump如何抓接口_Linux下如何抓指定IP
weixin_39882394的博客
12-31 3206
展开全部用tcpdum命令可以抓指定IP,具体命令为:tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port 22 and src net 192.168.1.1 -w ./target.cap参数解析:tcp: ip icmp arp rarp tcp、udp、icmp这些选项等都要放e68a8432313133353236313431303231...
tcpdump命令
wdirdo的博客
10-22 2298
tcpdump tcpdump命令介绍 tcpdump,用简单的语言概括就是dump the traffic on a network,是一个运行在linux平台可以根据使用者需求对网络上传输的数据进行捕获的抓包工具,windows平台有sniffer等工具,tcpdump可以将网络中传输的数据的“头”全部捕获过来进程分析,其支持网络层、特定的传输协议、数据发送接收的主机、网卡端口的...
tcpdump抓包命令
victorwjw的博客
01-12 5024
tcpdump抓包命令
Linux系统 tcpdump 抓包命令
qq_28807077的博客
03-08 2166
原文链接:https://zhuanlan.zhihu.com/p/74812069   tcpdump 是Linux系统下的一个强大的命令,可以将网络中传送的数据完全截获下来提供分析。它支持针对网络层、协议、主机、网络端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。   本教程对tcpdump命令使用进行讲解说明,通过本教程您可以学会linux系统下使用tcpdump命令进行网络抓包,实现对数据进行捕获分析。 tcpdump 命令格式介绍   首先我们对Linux系统下tcp
tcpdump -i eth0 udp port 69 -vvv反馈tcpdump not found
最新发布
06-14
tcpdump -i eth0 'udp and port 69' -nn -vv ``` 2. **防火墙拦截**:检查服务器端UDP 69端口状态 ```bash sudo iptables -L -n | grep :69 ``` 3. **特殊错误代码**: - `Code 0: Net not reached` - 网络不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值