如何在Linux中抓取网络包 Linux tcpdump过滤技巧

tcpdump是Linux下常用网络抓包工具，支持灵活过滤。1. 基本命令如tcpdump -i eth0 -n -c 10 -w capture.pcap可抓10个包并保存；2. 按IP过滤用host、src、dst；3. 按端口和协议过滤用port、tcp、udp；4. 高级技巧支持BPF语法，可按协议、标志位、包大小等过滤，结合-w与-r可配合Wireshark分析，提升排查效率。

在Linux系统中，tcpdump 是最常用的命令行网络抓包工具，能够捕获经过网卡的数据包，并支持灵活的过滤规则，帮助你快速定位问题。掌握 tcpdump 的基本用法和过滤技巧，对网络调试、安全分析和性能排查非常有帮助。

1. 基本抓包命令

开始使用 tcpdump 前，确保你有 root 权限或具备抓包能力（如 cap_net_raw 能力）。

最简单的抓包命令：

-i eth0 指定监听的网络接口，可替换为实际接口名（如 enp3s0、wlan0 等）。若不确定接口名，可用 ip link 或 tcpdump -D 查看。

常用基础选项：

• -n：不解析主机名，显示 IP 地址（加快输出）
• -v, -vv, -vvv：增加输出详细程度
• -c N：只抓取 N 个包后退出
• -w file.pcap：将数据包保存到文件，供 Wireshark 等工具分析
• -r file.pcap：从文件读取并分析数据包

这条命令抓取前10个包，不解析域名，保存到 capture.pcap。

2. 按IP地址过滤

只关心特定主机的流量时，使用 host 过滤。

抓取与 192.168.1.100 相关的所有流量。

进一步限定方向：

• src 192.168.1.100：只抓源IP为该地址的包
• dst 192.168.1.100：只抓目标IP为该地址的包

抓取从 192.168.1.100 发出、目标端口为80的包。

3. 按端口和协议过滤

使用 port 可以过滤特定服务流量。

巧文书

巧文书是一款AI写标书、AI写方案的产品。通过自研的先进AI大模型，精准解析招标文件，智能生成投标内容。

61

查看详情

抓取所有涉及80端口的流量（包括 TCP 和 UDP）。

结合协议过滤：

• tcp port 443：HTTPS 流量
• udp port 53：DNS 查询
• portrange 80-88：指定端口范围

只抓 SSH（端口22）的 TCP 流量。

多个条件用 and / or / not 连接：

抓取与 10.0.0.5 通信且使用80端口的包。

4. 高级过滤技巧

tcpdump 使用 BPF（Berkeley Packet Filter）语法，支持更复杂的表达式。

常见高级用法：

• 抓取特定协议：tcpdump -i eth0 icmp（只抓 ICMP 包）
• 排除特定流量：tcpdump -i eth0 not port 22（排除 SSH 流量，减少干扰）
• 抓取小包：tcpdump -i eth0 less 128（抓小于128字节的包，常用于探测异常）
• 抓取特定标志位：tcpdump -i eth0 'tcp[tcpflags] & tcp-syn != 0'（抓SYN包，用于分析连接建立）

组合示例：抓取非SSH、非DNS的外部通信

这有助于发现可疑外联行为。

基本上就这些。熟练掌握 tcpdump 的过滤语法，能极大提升排查效率。建议结合 -w 保存现场，再用 Wireshark 分析细节。日常使用中，先缩小范围（接口、IP、端口），再逐步深入，避免输出刷屏。

以上就是如何在Linux中抓取网络包 Linux tcpdump过滤技巧的详细内容，更多请关注php中文网其它相关文章！