tcpdump
部分內容由 LLM 生成,尚未經過人工驗證。
tcpdump 是 Linux 上的封包擷取工具,可即時監看網路介面上的實際流量。
基本語法
# 監聽指定介面
tcpdump -i eth0
# 監聽所有介面
tcpdump -i any
# 不解析 hostname(加快輸出)
tcpdump -nn -i eth0常用 Filter
# 指定 host
tcpdump host 192.168.1.1
# 指定 port
tcpdump port 80
# 組合條件
tcpdump -i eth0 host 192.168.1.1 and port 443
# 排除 SSH 流量
tcpdump not port 22
# 只看 DNS 查詢
tcpdump -nn port 53Filter 語法參考
| Filter | 說明 |
|---|---|
host x.x.x.x | 來源或目的 IP |
src x.x.x.x | 來源 IP |
dst x.x.x.x | 目的 IP |
port 80 | 指定 port |
tcp / udp | 指定協定 |
not port 22 | 排除條件 |
存檔與讀取
# 擷取並存成 pcap 檔
tcpdump -w capture.pcap
# 讀取 pcap 檔分析
tcpdump -r capture.pcappcap 檔可用 Wireshark 開啟進行圖形化分析。