Linux抓包命令tcpdump以及常见抓包使用方法

tcpdump是一个在Linux下非常强大的网络抓包工具，它能够让你看到在网络上发生的所有事情，这个命令必须由root用户运行，或者通过sudo命令以root权限运行。

tcpdump的基本语法

tcpdump的命令格式为：tcpdump [options]，options是各种参数选项，用于指定如何抓取数据包以及如何显示数据包的信息。

常见使用方法

1、抓取指定数量的数据包：使用c参数可以指定抓取的数据包数量。tcpdump i any c 10将抓取10个数据包并显示出来。

2、抓取特定网卡的数据包：使用i参数可以指定要抓取数据包的网卡。tcpdump i eth0将抓取eth0网卡上的数据包。

3、抓取特定主机的数据包：使用host参数可以指定要抓取数据包的主机。tcpdump host 192.168.1.1将抓取与192.168.1.1主机相关的数据包。

4、抓取特定端口的数据包：使用port参数可以指定要抓取数据包的端口。tcpdump port 80将抓取80端口的数据包。

5、抓取特定协议的数据包：使用proto参数可以指定要抓取数据包的协议。tcpdump proto icmp将抓取ICMP协议的数据包。

6、保存抓包结果到文件：使用w参数可以将抓包结果保存到文件。tcpdump w output.pcap将把抓包结果保存到output.pcap文件。

7、从文件中读取抓包结果：使用r参数可以从文件中读取抓包结果。tcpdump r output.pcap将从output.pcap文件中读取抓包结果并显示出来。

8、过滤特定类型的数据包：使用tcpdump的过滤表达式可以过滤出特定类型的数据包。tcpdump 'tcp[13] & 3 != 0 and tcp[13] & 3 != 1'将过滤出所有非SYN和非FIN的TCP数据包。

以上只是tcpdump的一些基本使用方法，实际上tcpdump的功能远不止于此，你可以根据需要组合使用各种参数和过滤表达式来满足你的需求。

相关问答FAQs

Q1: tcpdump能否抓取HTTPS的数据包？

A1: 是的，tcpdump可以抓取HTTPS的数据包，但是因为HTTPS的数据是加密的，所以你不能直接看到数据的内容，你只能看到数据的元信息，比如源IP、目标IP、源端口、目标端口等。

Q2: 我可以使用tcpdump抓取其他计算机的数据包吗？

A2: 不可以，tcpdump只能抓取本机的数据包，不能抓取其他计算机的数据包，如果你想抓取其他计算机的数据包，你需要在那台计算机上运行tcpdump，或者使用其他工具如Wireshark进行网络嗅探。