linux抓包工具使用命令

linux抓包工具使用命令详细介绍

在 Linux 系统里，有不少抓包工具，下面是常见抓包工具及其使用命令的介绍：

tcpdump

tcpdump 是一款经典的命令行抓包工具，能捕获网络数据包。以下是一些常用命令示例：

• 捕获所有网络接口的数据包：

bash

tcpdump  any

-i 用于指定网络接口，any 表示捕获所有接口的数据包。

• 捕获指定网络接口（如 eth0）的数据包：

bash

tcpdump  eth0

• 捕获指定端口（如 80）的数据包：

bash

tcpdump  eth0 port 

• 将捕获的数据包保存到文件中：

bash

tcpdump  eth0  capture.pcap

-w 用于指定保存数据包的文件名。

Wireshark（tshark）

Wireshark 是一款强大的图形化抓包工具，而tshark是其命令行版本。以下是常用命令示例：

• 捕获所有网络接口的数据包并显示详细信息：

bash

tshark  any

• 捕获指定网络接口（如 eth0）的数据包并保存到文件：

bash

tshark  eth0  capture.pcap

• 读取保存的数据包文件并显示详细信息：

bash

tshark  capture.pcap

-r 用于指定要读取的数据包文件。

ngrep

ngrep 是一个基于正则表达式的网络数据包捕获工具，可根据指定的正则表达式过滤数据包。以下是常用命令示例：

• 捕获所有网络接口的包含指定字符串（如 "example"）的数据包：

bash

ngrep  any 

-d 用于指定网络接口，any 表示所有接口。

• 捕获指定网络接口（如 eth0）的 TCP 数据包，并显示详细信息：

bash

ngrep  eth0  

912ngrep eth0

-t 用于显示时间戳。