关于TCPDUMP
TCPdump 是一个运行在命令行下的网络数据包分析工具,它可以在网络接口层捕获数据包,并将其内容以人类可读的方式显示出来。TCPdump 支持多种网络协议,包括 TCP、UDP、ICMP 等,广泛应用于各种操作系统,如 Linux、macOS 和 FreeBSD。
在线安装
在大多数 Linux 发行版中,TCPdump 都可以通过包管理器轻松安装。
例如,在 Ubuntu 上,可以使用以下命令安装:
在 CentOS 上,可以使用以下命令安装:
当然,在一些特别的环境中,linux系统因为业务要求不能连接互联网,这时候,就需要我们手动去离线安装tcpdump,由于linux应用软件的依赖性很强,我们在离线安装的过程中又需要安装各种其他包,就显得很麻烦,不仅命令一行一行的输入执行很麻烦,找各种软件包也是让人头大。这不,咱给你们弄了个简单的方法,顶多输入两条命令,直接开干:
Linux离线安装步骤(root用户)
1、下载安装包先去将相关安装包和执行文件下载到本地
https://pan.baidu.com/s/1w99Tp6frxmMwsSKiNIEs4w?pwd=628j
2、将文件上传到linux
使用ftp或者其他方式将刚刚下载的两个文件上传到linux的/opt目录,注意两个文件需要在同级目录
3、赋予文件执行权限进入/opt目录,执行权限赋予命令
4、执行安装在/opt目录下执行安装命令
5、安装完成
基本用法
1、捕获所有数据包
这条命令会捕获 eth0 网络接口上的所有数据包,并在终端中显示。
2、捕获特定类型的流量
这条命令会捕获 eth0 网络接口上的所有 TCP 协议且端口号为 80 的数据包。
3、保存数据包到文件
这条命令会捕获 eth0 网络接口上的所有数据包,并将其保存到 capture.pcap 文件中。
4、读取保存的数据包文件
这条命令会读取 capture.pcap 文件中的数据包,并在终端中显示。
5、使用表达式过滤数据包
TCPdump 支持复杂的表达式来过滤数据包。例如,以下命令会捕获所有来自 192.168.1.100 的数据包:
6、限制捕获的数据包数量
有时候,你可能只希望捕获一定数量的数据包。可以使用 -c 选项来实现:
这条命令会捕获 eth0 网络接口上的前 10 个数据包。
7、显示详细的包头信息使用 -vv 选项可以显示更详细的包头信息:
应用场景
TCPdump 是一个强大且灵活的网络抓包工具,无论你是网络管理员、开发人员还是安全专家,都能从中受益。通过掌握 TCPdump 的基本和高级用法,你将能够在网络管理和故障排除中更加得心应手。