tcpdump 抓包命令

基础抓包命令

1. 抓取指定域名/IP的包（保存为pcap文件）

# 基本语法
tcpdump -i <interface> host <ip/domain> -w <output_file>

# 实际示例
tcpdump -i eth0 host www.example.com -w capture.pcap
tcpdump -i any host 192.168.1.100 -w server_traffic.pcap

# 参数说明：
# -i: 指定网络接口（any表示所有接口）
# host: 指定目标主机
# -w: 输出到文件

2. 实时查看数据包内容

# 以十六进制和ASCII格式显示（适合分析二进制协议）
tcpdump -X host www.example.com

# 以ASCII格式显示（适合查看HTTP等文本协议）
tcpdump -A host www.example.com

# 限制显示字节数（默认65536字节）
tcpdump -A -s 100 host www.example.com

高级tcpdump用法

1. 端口过滤

# 抓取特定端口
tcpdump port 80
tcpdump port 443
tcpdump portrange 8000-8010

# 抓取源端口或目标端口
tcpdump src port 22
tcpdump dst port 80

2. 协议过滤

# 抓取特定协议
tcpdump tcp
tcpdump udp
tcpdump icmp
tcpdump arp

3. 复杂过滤条件

# 组合条件
tcpdump "host 192.168.1.100 and port 80"
tcpdump "tcp and (port 80 or port 443)"
tcpdump "not host 192.168.1.1"

# 抓取特定大小的包
tcpdump "greater 1000"
tcpdump "less 100"

4. 性能优化参数

# 限制抓包数量
tcpdump -c 1000 host www.example.com

# 限制抓包时间
tcpdump -G 60 -w capture_%Y%m%d_%H%M%S.pcap

# 设置缓冲区大小
tcpdump -B 4096 host www.example.com