tcpdump教程与示例

Fri, 20 Feb 2026 17:21:02 +0800

tcpdump 是全球领先的网络分析工具——将强大功能与简洁性结合于一个命令行界面中。本指南将向您展示如何使用它。

tcpdump 是一款功能强大的命令行数据包分析工具。它允许您实时捕获并检查网络流量。对于网络管理员、安全专业人员以及任何需要理解网络行为的人来说，这个工具都是无价的。

在本教程中，我们将探讨 50 个使用 tcpdump 的实用示例。这些示例将涵盖广泛的使用场景，从基础流量捕获到高级过滤与分析。

基本语法

tcpdump 的基本语法如下：

tcpdump [options] [expression]

要捕获某个特定接口上的所有流量，请使用 -i 标志并在其后指定接口名称。例如，要捕获 eth0 接口上的流量：

tcpdump -i eth0

要查看所有可用接口的列表，请使用以下命令：

tcpdump -D

要捕获发往或来自某个特定主机的流量，请使用 host 关键字并在其后指定主机名或 IP 地址：

tcpdump host 192.168.1.100

这将捕获与 IP 地址为 192.168.1.100 的主机之间的所有流量。

要捕获某个特定端口上的流量，请使用 port 关键字并在其后指定端口号：

tcpdump port 80

这将捕获端口 80（HTTP）上的所有流量。

您可以使用 and、or 和 not 运算符来组合过滤条件。例如，要捕获与主机 192.168.1.100 在端口 80 上的所有往返流量，请使用：

tcpdump host 192.168.1.100 and port 80

要捕获来自 192.168.1.100 且端口为 80 或 443 的流量，请使用：

Wed, 18 Feb 2026 18:20:14 +0800

iptables 是 Linux 系统中一个防火墙管理工具，真正实现防火墙功能的是位于内核的 netfilter，我们配置了 iptables 规则后 Netfilter 通过这些规则来进行防火墙过滤等操作。防火墙工作在 OSI 中的第 4 层。它控制网络数据包的进出、转发和修改。

从图中可以看到，内核在 IP 协议栈的关键位置注册了若干 hook 点，每个 hook 都可以挂载规则链。数据包流经路径时，会依次经过这些 hook。

要理解 iptables，最重要的是掌握其 “四表五链” 的架构。

链是在某个 hook 点执行的一组规则，链决定了在数据包传输的哪个阶段触发规则。

Linux 内核在 IP 协议栈关键位置定义了五个 hook，对应五个“内置链”：

表决定了对数据包进行什么类型的操作。主要的表有四个：

并不是每一个“表”都存在于每一个“链”中。它们的关系就像是一张矩阵图，每个交叉点代表一个具体的处理时机。

链 (Chains) \ 表 (Tables)	Raw	Mangle	Filter	NAT
PREROUTING	✅	✅		✅
INPUT		✅	✅
FORWARD		✅	✅
OUTPUT	✅	✅	✅	✅
POSTROUTING		✅		✅

当一个数据包经过你的机器时，它会按以下顺序穿越这些表和链：