网络安全系列-IX: 抓包工具tcpdump命令使用、过滤规则详解

什么是tcpdump?

概念

tcpdump是一款资源网络工作人员必备的工具、一款小巧的纯命令行工具
tcpdump - dump traffic on a network，将网络中的流量转储，即针对网络中传输的数据进行抓包，就是常说的抓包工具
类似的工具有wireshark、scapy、Omnipeek、Sniffer等，但tcpdump只能使用命令行执行

本文以Centos 7.6上的tcpdump 进行讲解，详细版本信息如下：

• tcpdump version 4.9.2
• libpcap version 1.5.3
• OpenSSL 1.0.2k-fips 26 Jan 2017

简单使用

• 抓包命令：tcpdump -v -i eth0
  • -i 用来指定要监听的网卡
  • -v 表示以verbose mode显示
• 将监听的数据保存：tcpdump -v -i eth0 -w 20220403.pcap
  • pcap可以使用wireshark等工具打开
  • -w表示要将捕获的数据保存下来。

详细使用请参考： MAN PAGE OF TCPDUMP

tcpdump的包过滤规则