tcpdump&&wireshark使用方法

tcpdump 是最常用的一个网络分析工具。它基于 libpcap ，利用内核中的 AF_PACKET 套接字，抓取网络接口中传输的网络包；并提供了强大的过滤规则，帮你从大量的网络包中，挑出最想关注的信息。

它的基本使用方法，还是比较简单的，也就是 tcpdump [选项] [过滤表达式]。当然，选项和表达式的外面都加了中括号，表明它们都是可选的。

整理了一些最常见的用法，并且绘制成了表格，可以参考使用。

 

 

接下来，我们再来看常用的过滤表达式。比如 udp port 53 or host 35.190.27.188 ，表示抓取 DNS 协议的请求和响应包，以及源地址或目的地址为 35.190.27.188 的包。其他常用的过滤选项，我也整理成了下面这个表格。

 

 最后，再次强调 tcpdump 的输出格式，我在前面已经介绍了它的基本格式：

时间戳 协议 源地址.源端口 > 目的地址.目的端口 网络包详细信息

 

其中，网络包的详细信息取决于协议，不同协议展示的格式也不同。所以，更详细的使用方法，还是需要你去查询 tcpdump 的 man 手册（执行 man tcpdump 也可以得到）。

 

 

Wireshark

Wireshark 也是最流行的一个网络分析工具，它最大的好处就是提供了跨平台的图形界面。跟 tcpdump 类似，Wireshark 也提供了强大的过滤规则表达式，同时，还内置了一系列的汇总分析工具。