LinuxTcpdump抓包实战教程

本文深入解析了Linux下tcpdump这一轻量级抓包工具的核心使用原则与实战要点：它并非协议分析器，而是专注高效捕获、保存和基于网络层/传输层的粗粒度过滤，真正的HTTP/SSL/DNS等深度解析必须交由Wireshark或tshark完成；文章直击新手高频痛点——权限配置（需sudo或root）、必加三参数（-i指定接口、-nn禁用解析、-s0抓全包）、BPF过滤表达式的严谨写法（区分host/src/dst、避免逻辑符误用）、pcap文件的正确读取与后续分析路径，并强调tcpdump的本质是“内核级减法工具”，不理解应用层语义，却因其极简、稳定、无GUI依赖而成为网络排查不可替代的第一道防线。

tcpdump 不需要“学习怎么分析协议包”，它只负责抓、存、粗筛；真正解析 HTTP/SSL/DNS 等协议细节，得靠 Wireshark 或 tshark —— 但 tcpdump 是最轻量、最可靠的第一道入口。

安装 tcpdump 前先确认权限和依赖

非 root 用户运行 tcpdump 会直接报错：You don’t have permission to capture on that device (socket: Operation not permitted)。这不是安装问题，是内核混杂模式权限限制。

• 必须用 sudo 或切换到 root 执行，普通用户加 cap_net_raw+ep 能力也可，但不推荐（安全风险高）
• CentOS/RHEL 8+ 用 dnf install tcpdump，7 及更早用 yum install tcpdump
• Debian/Ubuntu 用 apt install tcpdump；Arch 用 pacman -S tcpdump
• 安装后检查依赖：ldd $(which tcpdump) | grep pcap 应输出 libpcap.so 路径，缺失则需先装 libpcap-dev（编译）或 libpcap（运行时）

抓包时必加的三个参数：-i、-nn、-s0

缺一不可，否则你会看到一堆 host www.example.com、port https 这类干扰信息，或根本看不到应用层 payload。

• -i eth0：显式指定接口，别依赖默认值；用 tcpdump -D 列出可用接口（如 ens33、enp0s3），any 可抓所有接口但可能混入 loopback 流量
• -nn：禁用 IP 和端口解析，避免 DNS 查询拖慢抓包、掩盖真实地址；-n 只禁域名，-nn 才禁端口名（如不把 443 显示成 https）
• -s0：抓完整包（snaplen=0），否则默认只截前 262144 字节（新版）或 96 字节（老版），HTTP body、TLS handshake 数据全被砍掉，日志里出现 [|tcp] 就是截断标志

过滤表达式写错会导致“什么都没抓到”

BPF 表达式语法严格，大小写敏感，括号必须转义，常见错误不是语法报错，而是静默不匹配。

• tcp port 80 正确，tcp port 80 and host 192.168.1.100 也正确；但 tcp port 80 && host 192.168.1.100 错误（BPF 不认 &&）
• IP 地址过滤用 host 192.168.1.100，不是 src host 或 dst host —— 除非你明确只要单向流量；src 192.168.1.100 才表示仅源 IP
• 抓 HTTPS 流量别只写 port 443，因为 ALPN 或 TLS 1.3 early data 可能藏在 TCP 层之外；更稳的是 tcp port 443 and ip[20:2] == 0x1603（匹配 TLS handshake record header），但日常调试够用 tcp port 443 即可
• 想排除本机 SSH 干扰？加 and not port 22，注意 not 优先级低，必要时用括号：tcp and (port 80 or port 443) and not port 22

保存 pcap 文件后别直接用 vim 打开

tcpdump -w capture.pcap 生成的是二进制 libpcap 格式，不是文本。用 cat capture.pcap 或 vim capture.pcap 只会看到乱码甚至损坏文件。

• 查看内容用：tcpdump -r capture.pcap -nn（读取 + 禁解析）
• 快速检查是否抓到目标包：tcpdump -r capture.pcap -nn | head -20
• 导出为可读文本（含 hex + ASCII）：tcpdump -r capture.pcap -XX -nn | head -50
• 真正分析协议字段（如 HTTP headers、TLS SNI、DNS QNAME）：必须用 tshark -r capture.pcap -Y "http.request.uri contains login" 或导入 Wireshark

最易被忽略的一点：tcpdump 的过滤发生在内核 BPF 层，它不解析应用层内容；所谓“过滤 HTTP GET”本质是靠端口 + TCP payload 偏移硬匹配，稳定性和可读性远不如 Wireshark 的显示过滤器。别指望用 tcpdump 一行命令就筛出某个 API 请求 —— 它只做减法，不做理解。

理论要掌握，实操不能落！以上关于《LinuxTcpdump抓包实战教程》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！