当前位置：首页 > 文章列表 > 文章 > linux > LinuxTcpdump抓包实战教程

LinuxTcpdump抓包实战教程

2026-05-28 15:21:53 0浏览收藏

本文深入解析了Linux下tcpdump这一轻量级抓包工具的核心使用原则与实战要点：它并非协议分析器，而是专注高效捕获、保存和基于网络层/传输层的粗粒度过滤，真正的HTTP/SSL/DNS等深度解析必须交由Wireshark或tshark完成；文章直击新手高频痛点——权限配置（需sudo或root）、必加三参数（-i指定接口、-nn禁用解析、-s0抓全包）、BPF过滤表达式的严谨写法（区分host/src/dst、避免逻辑符误用）、pcap文件的正确读取与后续分析路径，并强调tcpdump的本质是“内核级减法工具”，不理解应用层语义，却因其极简、稳定、无GUI依赖而成为网络排查不可替代的第一道防线。

如何在Linux中安装并使用Tcpdump抓包 Linux分析网络协议包的方法

tcpdump 不需要“学习怎么分析协议包”，它只负责抓、存、粗筛；真正解析 HTTP/SSL/DNS 等协议细节，得靠 Wireshark 或 tshark —— 但 tcpdump 是最轻量、最可靠的第一道入口。

安装 tcpdump 前先确认权限和依赖

非 root 用户运行 tcpdump 会直接报错：You don’t have permission to capture on that device (socket: Operation not permitted)。这不是安装问题，是内核混杂模式权限限制。

必须用 sudo 或切换到 root 执行，普通用户加 cap_net_raw+ep 能力也可，但不推荐（安全风险高）
CentOS/RHEL 8+ 用 dnf install tcpdump，7 及更早用 yum install tcpdump
Debian/Ubuntu 用 apt install tcpdump；Arch 用 pacman -S tcpdump
安装后检查依赖：ldd $(which tcpdump) | grep pcap 应输出 libpcap.so 路径，缺失则需先装 libpcap-dev（编译）或 libpcap（运行时）

抓包时必加的三个参数：-i、-nn、-s0

缺一不可，否则你会看到一堆 host www.example.com、port https 这类干扰信息，或根本看不到应用层 payload。

-i eth0：显式指定接口，别依赖默认值；用 tcpdump -D 列出可用接口（如 ens33、enp0s3），any 可抓所有接口但可能混入 loopback 流量
-nn：禁用 IP 和端口解析，避免 DNS 查询拖慢抓包、掩盖真实地址；-n 只禁域名，-nn 才禁端口名（如不把 443 显示成 https）
-s0：抓完整包（snaplen=0），否则默认只截前 262144 字节（新版）或 96 字节（老版），HTTP body、TLS handshake 数据全被砍掉，日志里出现 [|tcp] 就是截断标志

过滤表达式写错会导致“什么都没抓到”

BPF 表达式语法严格，大小写敏感，括号必须转义，常见错误不是语法报错，而是静默不匹配。

tcp port 80 正确，tcp port 80 and host 192.168.1.100 也正确；但 tcp port 80 && host 192.168.1.100 错误（BPF 不认 &&）
IP 地址过滤用 host 192.168.1.100，不是 src host 或 dst host —— 除非你明确只要单向流量；src 192.168.1.100 才表示仅源 IP
抓 HTTPS 流量别只写 port 443，因为 ALPN 或 TLS 1.3 early data 可能藏在 TCP 层之外；更稳的是 tcp port 443 and ip[20:2] == 0x1603（匹配 TLS handshake record header），但日常调试够用 tcp port 443 即可
想排除本机 SSH 干扰？加 and not port 22，注意 not 优先级低，必要时用括号：tcp and (port 80 or port 443) and not port 22

保存 pcap 文件后别直接用 vim 打开

tcpdump -w capture.pcap 生成的是二进制 libpcap 格式，不是文本。用 cat capture.pcap 或 vim capture.pcap 只会看到乱码甚至损坏文件。

查看内容用：tcpdump -r capture.pcap -nn（读取 + 禁解析）
快速检查是否抓到目标包：tcpdump -r capture.pcap -nn | head -20
导出为可读文本（含 hex + ASCII）：tcpdump -r capture.pcap -XX -nn | head -50
真正分析协议字段（如 HTTP headers、TLS SNI、DNS QNAME）：必须用 tshark -r capture.pcap -Y "http.request.uri contains login" 或导入 Wireshark

最易被忽略的一点：tcpdump 的过滤发生在内核 BPF 层，它不解析应用层内容；所谓“过滤 HTTP GET”本质是靠端口 + TCP payload 偏移硬匹配，稳定性和可读性远不如 Wireshark 的显示过滤器。别指望用 tcpdump 一行命令就筛出某个 API 请求 —— 它只做减法，不做理解。

理论要掌握，实操不能落！以上关于《LinuxTcpdump抓包实战教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！