Tcpdump on NOSAE https://nosae.top/tags/tcpdump/ Recent content in Tcpdump on NOSAE NOSAE https://nosae.top/images/papermod-cover.png https://nosae.top/images/papermod-cover.png Hugo -- 0.147.2 zh NOSAE Fri, 20 Feb 2026 17:21:02 +0800 tcpdump教程与示例 https://nosae.top/posts/tcpdump%E6%95%99%E7%A8%8B%E4%B8%8E%E7%A4%BA%E4%BE%8B/ Fri, 20 Feb 2026 17:21:02 +0800 https://nosae.top/posts/tcpdump%E6%95%99%E7%A8%8B%E4%B8%8E%E7%A4%BA%E4%BE%8B/ <p><a href="https://cdn.jsdelivr.net/gh/NOS-AE/assets@main/img/ip-header-2021-1024x505.png" data-fancybox="gallery" data-caption="tcpip header"> <img alt="tcpip header" loading="lazy" src="https://cdn.jsdelivr.net/gh/NOS-AE/assets@main/img/ip-header-2021-1024x505.png"> </a></p> <p>tcpdump 是全球领先的网络分析工具——将强大功能与简洁性结合于一个命令行界面中。本指南将向您展示如何使用它。</p> <p>tcpdump 是一款功能强大的命令行数据包分析工具。它允许您实时捕获并检查网络流量。对于网络管理员、安全专业人员以及任何需要理解网络行为的人来说,这个工具都是无价的。</p> <p>在本教程中,我们将探讨 50 个使用 tcpdump 的实用示例。这些示例将涵盖广泛的使用场景,从基础流量捕获到高级过滤与分析。</p> <h2 id="基本语法">基本语法</h2> <p>tcpdump 的基本语法如下:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">tcpdump <span class="o">[</span>options<span class="o">]</span> <span class="o">[</span>expression<span class="o">]</span> </span></span></code></pre></div><ul> <li><code>options</code>:修改 tcpdump 的行为,例如指定要捕获的接口或输出格式。</li> <li><code>expression</code>:定义要捕获的流量类型。在这里您可以指定主机名、IP 地址、端口、协议以及其他条件。</li> </ul> <h2 id="在接口上捕获流量">在接口上捕获流量</h2> <p>要捕获某个特定接口上的所有流量,请使用 <code>-i</code> 标志并在其后指定接口名称。例如,要捕获 eth0 接口上的流量:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">tcpdump -i eth0 </span></span></code></pre></div><p>要查看所有可用接口的列表,请使用以下命令:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">tcpdump -D </span></span></code></pre></div><h2 id="捕获发往来自特定主机的流量">捕获发往/来自特定主机的流量</h2> <p>要捕获发往或来自某个特定主机的流量,请使用 host 关键字并在其后指定主机名或 IP 地址:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">tcpdump host 192.168.1.100 </span></span></code></pre></div><p>这将捕获与 IP 地址为 192.168.1.100 的主机之间的所有流量。</p> <h2 id="在特定端口上捕获流量">在特定端口上捕获流量</h2> <p>要捕获某个特定端口上的流量,请使用 port 关键字并在其后指定端口号:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">tcpdump port <span class="m">80</span> </span></span></code></pre></div><p>这将捕获端口 80(HTTP)上的所有流量。</p> <h2 id="组合过滤条件">组合过滤条件</h2> <p>您可以使用 and、or 和 not 运算符来组合过滤条件。例如,要捕获与主机 192.168.1.100 在端口 80 上的所有往返流量,请使用:</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">tcpdump host 192.168.1.100 and port <span class="m">80</span> </span></span></code></pre></div><p>要捕获来自 192.168.1.100 且端口为 80 或 443 的流量,请使用:</p>