当前位置: 首页 > news >正文

学习黑客 tcpdump

5分钟入门:tcpdump最佳实践与常用技巧 🕵️‍♂️

tcpdump 是最常见、最强大的网络抓包与分析工具之一,广泛用于网络故障排查、安全分析、协议研究等场景。本文总结tcpdump的基本用法与实战技巧,助你高效上手。
在这里插入图片描述


一、基础命令速查

  • 抓取全部流量
    tcpdump
    
  • 指定网卡抓包
    tcpdump -i eth0
    
  • 保存为pcap文件
    tcpdump -i eth0 -w traffic.pcap
    
  • 读取已保存文件
    tcpdump -r traffic.pcap
    
  • 只抓前N个包
    tcpdump -c 100
    

二、抓包过滤器实用示例

  • 只看某个IP的数据包

    tcpdump host 192.168.1.10
    
  • 只看某端口流量

    tcpdump port 80
    
  • 只看TCP/UDP/ICMP等协议

    tcpdump tcp
    tcpdump udp
    tcpdump icmp
    
  • 源或目标端口/主机

    tcpdump src port 22
    tcpdump dst host 8.8.8.8
    
  • 组合条件

    tcpdump 'src 10.0.0.1 and (dst port 80 or dst port 443)'
    tcpdump 'tcp and port 443 and host example.com'
    

三、进阶输出与性能优化

  • 简化输出(不解析主机名与端口服务名)
    tcpdump -n -nn
    
  • 显示详细包内容(十六进制/ASCII)
    tcpdump -X
    
  • 显示包的链路层头部
    tcpdump -e
    
  • 只显示包头,不抓取数据内容(提升性能)
    tcpdump -s 96
    
  • 加时间戳
    tcpdump -tttt
    

四、实战场景案例

  • 抓取所有经过网关的DNS请求
    tcpdump -i eth0 port 53
    
  • 定位内网主机异常带宽消耗
    tcpdump -i eth0 src net 192.168.0.0/16 and greater 1000
    
  • 抓取HTTP登录明文密码(教育用途,勿用于非法用途)
    tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
    

五、tcpdump最佳实践心得

  1. 尽量用过滤器,避免全网抓包,节省资源,提高效率。
  2. 生产环境抓包前,先与安全/运维沟通,避免影响业务。
  3. 抓包文件存储空间要足够,适时分卷保存(-C参数)。
  4. 抓包文件要及时分析和加密存储,防止敏感数据泄露。
  5. 结合Wireshark等GUI工具做离线详细分析。
  6. 可用nohupscreen后台长时间抓包,防止断连中断任务。
  7. 定期回顾抓包日志,积累分析经验。

六、常用组合命令

  • 定时抓包,按文件大小轮转
    tcpdump -i eth0 -w dump-%Y%m%d%H%M%S.pcap -C 100
    
  • 抓取到目标文件后自动停止
    tcpdump -i eth0 -w dump.pcap -G 60 -W 10
    

七、参考资料

  • tcpdump官方文档
  • Wireshark与tcpdump联合分析指南
  • 高级BPF语法

一句话总结:tcpdump简单易用、功能强大,善用过滤表达式和文件管理技巧,是网络运维和安全人员的必备工具。

相关文章:

  • 如何在UI设计中更好地平衡美学与功能性?
  • IP-guard发布新版本4.87.2241.0
  • css 里面写if else 条件判断
  • [Windows] 格式工厂 FormatFactory v5.20.便携版 ——多功能媒体文件转换工具
  • 禅道——安装PHP的ioncube扩展
  • wordpress上传图片时出现服务器无法处理图片
  • 高通usecase理解
  • 对接钉钉消息样例:DING消息、机器人
  • iOS 直播弹幕礼物功能详解
  • 多模态AI终极形态?GPT-5与Stable Diffusion 3的融合实验报告
  • 【49. 字母异位词分组】
  • iOS 上线前的性能与稳定性检查流程实录:开发者的“最后一公里”(含 KeyMob 应用经验)
  • C# 高效读取大文件
  • Spark on Yarn 高可用模式部署流程
  • 如何提高服务器的QPS来应对618活动的并发流量
  • 如何将带有LFS对象的git仓库推送到gitlab
  • 前端(小程序)学习笔记(CLASS 2):WXML模板语法与WXSS模板样式
  • C语言实现顺序存储结构
  • PostgreSQL中的权限管理简介
  • Python爬虫(35)Python爬虫高阶:基于Docker集群的动态页面自动化采集系统实战
  • 网站建设seo优化推广/seo关键词排名优化矩阵系统
  • 天津做网站开发的/北京seo培训
  • 域名网站搭建/百度竞价推广点击软件
  • 公司网站建设设计/百度做广告怎么收费
  • 如何做明星的个人网站/扬州网络推广哪家好
  • 常州行业网站/营销策划有限公司经营范围