tcpdump 与 Wireshark 网络抓包实战:远程抓包、过滤表达式、流量分析
tcpdump 与 Wireshark 网络抓包实战:远程抓包、过滤表达式、流量分析
网络抓包是排查网络故障、分析协议行为、定位性能瓶颈的核心技能。tcpdump 是 Linux 下轻量的命令行抓包工具,Wireshark 则是功能强大的图形化协议分析利器。两者结合使用——在服务器上用 tcpdump 抓包,在本地用 Wireshark 分析——能覆盖绝大多数网络问题的排查场景。本文将系统讲解从基础抓包到高级流量分析的完整流程。
环境要求
本教程适用于以下环境:
- 服务器:Linux(Ubuntu 20.04+ / Debian 11+ / CentOS 7+)
- 本地:Windows / macOS / Linux(需安装 Wireshark)
- 工具:tcpdump(服务端)、Wireshark 4.x(本地)
推荐使用雨云服务器 rainyun-com作为实验环境,注册填优惠码2026off领 5 折优惠券。推荐机型:1 核 2GB Linux 云服务器,运行 tcpdump 完全足够,适合网络抓包学习与日常运维使用。
核心概念
数据包捕获原理
tcpdump 基于 libpcap 库,通过将网卡设置为混杂模式(Promiscuous Mode),捕获经过该网卡的所有数据帧。捕获的数据以 PCAP 格式保存,Wireshark 可直接读取该格式进行可视化分析。
BPF 过滤器
Berkeley Packet Filter(BPF)是 tcpdump/Wireshark 的过滤语言,分为两层:
- 内核层 BPF:在内核层面过滤,性能高,tcpdump
-f参数使用 - 应用层显示过滤器:Wireshark 专有,语法更丰富,在应用层过滤
抓包文件格式
| 格式 | 扩展名 | 说明 |
|---|---|---|
| PCAP | .pcap | 最通用格式,tcpdump 默认 |
| PCAPng | .pcapng | 新一代格式,支持多接口、注释 |
| ERF | .erf | Endace 专有格式 |
配置步骤
第一步:安装 tcpdump
# Ubuntu/Debiansudoaptupdate&&sudoaptinstall-ytcpdump# CentOS/RHELsudoyuminstall-ytcpdump# 验证安装tcpdump--version第二步:基本抓包命令
# 查看可用网络接口sudotcpdump-D# 在 eth0 上抓包,显示详细内容,限制 100 个包sudotcpdump-ieth0-v-c100# 抓包并保存到文件(不解析主机名和端口,速度更快)sudotcpdump-ieth0-nn-w/tmp/capture.pcap# 抓包同时显示内容(调试用)sudotcpdump-ieth0-nn-v-w/tmp/capture.pcap# 指定抓包文件大小(每 100MB 自动切割)sudotcpdump-ieth0-nn-C100-w/tmp/capture_%Y%m%d_%H%M%S.pcap第三步:BPF 过滤表达式详解
# 只抓 HTTP 流量(80 端口)sudotcpdump-ieth0-nnport80# 抓指定 IP 的流量sudotcpdump-ieth0-nnhost192.168.1.100# 抓指定 IP 和指定端口的组合sudotcpdump-ieth0-nnhost192.168.1.100 and port443# 抓 TCP SYN 包(分析连接建立)sudotcpdump-ieth0-nn'tcp[tcpflags] & tcp-syn != 0'# 抓 TCP RST 包(排查连接重置)sudotcpdump-ieth0-nn'tcp[tcpflags] & tcp-rst != 0'# 抓大于 1000 字节的包sudotcpdump-ieth0-nn'greater 1000'# 排除 SSH 流量(避免抓包自身操作产生干扰)sudotcpdump-ieth0-nnnot port22# 抓 ICMP 包sudotcpdump-ieth0-nnicmp# 抓 DNS 查询sudotcpdump-ieth0-nnport53# 抓特定网段的流量sudotcpdump-ieth0-nnnet10.0.0.0/24# 复合条件:抓来自 10.0.0.1 到 8.8.8.8 的 UDP 流量sudotcpdump-ieth0-nn'src host 10.0.0.1 and dst host 8.8.8.8 and udp'第四步:远程抓包并实时在 Wireshark 中分析
这是生产环境中最常用的工作流:在远程服务器上实时抓包,通过 SSH 管道传输到本地 Wireshark。
方法一:SSH 管道实时分析
# macOS/Linux 本地执行sshuser@your-server"sudo tcpdump -i eth0 -nn -U -w - not port 22"|wireshark-k-i-# Windows(需要安装 Wireshark 并配置 PATH)# 在 PowerShell 中执行:sshuser@your-server"sudo tcpdump -i eth0 -nn -U -w - not port 22"|"C:\Program Files\Wireshark\Wireshark.exe"-k-i-参数说明:
-U:packet-buffered 模式,每抓到一个包立即输出,保证实时性-w -:输出到标准输出(stdout)- Wireshark
-k:立即开始捕获 - Wireshark
-i -:从标准输入读取
方法二:抓包后下载分析
# 服务器端抓包 60 秒sudotimeout60tcpdump-ieth0-nn-w/tmp/capture.pcap not port22# 下载到本地scpuser@your-server:/tmp/capture.pcap ~/Desktop/# 本地用 Wireshark 打开wireshark ~/Desktop/capture.pcap实战示例
场景一:分析 HTTP 请求响应时延
# 抓取 HTTP 流量,含时间戳sudotcpdump-ieth0-nn-ttttport80-w/tmp/http.pcap# 用 tcpdump 快速查看 HTTP 请求头(ASCII 模式)sudotcpdump-ieth0-nn-Aport80|grep-E"GET|POST|HTTP|Host:"在 Wireshark 中分析:
- 打开
http.pcap - 菜单 → 统计 → HTTP → 请求
- 右键任意 HTTP 流 → 追踪 → TCP 流,查看完整对话
- 统计 → 服务响应时间 → HTTP,分析各接口延迟
场景二:排查 TCP 连接异常重置
# 专门抓取 RST 包sudotcpdump-ieth0-nn'tcp[tcpflags] & tcp-rst != 0'-w/tmp/rst.pcap# 实时显示 RST 连接信息sudotcpdump-ieth0-nn'tcp[tcpflags] & tcp-rst != 0'|\awk'{print $3, "->", $5, $6}'Wireshark 显示过滤器(在顶部过滤栏输入):
# 过滤 RST 包 tcp.flags.reset == 1 # 过滤 TCP 重传 tcp.analysis.retransmission # 过滤延迟超过 100ms 的 ACK tcp.analysis.ack_rtt > 0.1 # 过滤 HTTP 错误响应 http.response.code >= 400场景三:DNS 解析故障排查
# 抓取 DNS 流量sudotcpdump-ieth0-nnport53-w/tmp/dns.pcap# 实时显示 DNS 查询和响应sudotcpdump-ieth0-nnport53|\grep-oP'(?<=A\? )[^ ]+|(?<=A )[0-9.]+'Wireshark 中分析 DNS:
- 过滤器:
dns - 统计 → DNS,查看各域名解析时延
- 检查
dns.flags.rcode != 0的失败查询
场景四:统计流量 Top N
# 安装 ngrep 辅助分析sudoaptinstall-yngrep# 用 tcpdump + awk 统计各 IP 流量sudotcpdump-ieth0-nn-q|\awk'{print $3}'|\cut-d. -f1-4|\sort|uniq-c|sort-rn|head-20常见问题
Q:tcpdump 提示 “Permission denied” 无法抓包?
A:需要 root 权限或为用户添加cap_net_raw能力:
# 方法一:使用 sudosudotcpdump-ieth0# 方法二:给 tcpdump 添加 capability(不推荐生产环境)sudosetcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdumpQ:抓包文件太大,如何分割?
# 按文件大小分割(每 100MB 一个文件)sudotcpdump-ieth0-nn-C100-w/tmp/cap.pcap# 按时间分割(每 300 秒一个文件)sudotcpdump-ieth0-nn-G300-w'/tmp/cap_%Y%m%d_%H%M%S.pcap'Q:Wireshark 如何解密 HTTPS/TLS 流量?
A:需要服务器的 TLS 会话密钥文件(SSLKEYLOGFILE)。在应用侧设置环境变量SSLKEYLOGFILE=/tmp/tls.log后,Wireshark → 编辑 → 首选项 → Protocols → TLS → 设置密钥日志文件路径。
Q:抓包对服务器性能影响大吗?
A:使用 BPF 过滤表达式可以大幅降低开销。生产环境建议:加-nn避免 DNS 解析、加精确过滤条件、用-C限制文件大小、高流量时使用-s 64只抓包头。
Q:tcpdump 能抓 lo 回环接口的流量吗?
A:可以。使用sudo tcpdump -i lo即可抓取本机进程间通信(如应用访问本地数据库的流量)。
tcpdump 和 Wireshark 的组合是每个运维和开发工程师工具箱中不可或缺的利器。熟练掌握 BPF 过滤表达式和 Wireshark 分析技巧,能让你在遇到复杂网络问题时快速定位根因。