Linux下使用TCPDump抓包教程 结合Wireshark分析网络协议【指南】
Linux下使用TCPDump抓包教程 结合Wireshark分析网络协议【指南】
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
不加 -s 0 的抓包文件,基本等于白抓——HTTP header、TLS handshake、Modbus 功能码全被截断在前 68 字节里,你看到的只是个“半截包”。
必须加 -s 0,否则 payload 被砍掉就无法分析协议内容
tcpdump 默认只捕获每个包前 68 字节(snaplen),这对链路层诊断可能够用,但对应用层协议毫无意义:
- HTTP 请求行、header、body 全部丢失,Wireshark 里看不到
GET /api/v1或Content-Length - TLS ClientHello/ServerHello 被截断,无法判断协商的 cipher suite 或 SNI
- Modbus TCP ADU 中的功能码、数据地址、字节数可能落在 68 字节之后,直接看不到读写意图
- 即使加了
-A(ASCII 输出),也只会显示截断后的乱码或空行
正确做法是显式指定 -s 0,强制捕获完整帧。注意这不是“可选优化”,而是分析任何应用层协议的前提。
网卡选错,包根本不在那个接口上
常见错误是查到 eth0 就开抓,结果目标流量其实在 lo、br0 或 docker0 上:
- 本地服务调用(如
curl https://localhost:8080)必须用-i lo,物理网卡上完全没影 - BMC 与安卓卡通信若走桥接网络(如
br0),抓eth0会漏掉所有业务包 any接口能抓所有网卡,但不含链路层信息(如 VLAN tag、MAC 地址),Wireshark 里看不到 Ethernet II 头- 用
ip link show看哪些接口状态是UP,再用ss -tuln | grep :502确认 Modbus 连接实际绑定在哪块卡
过滤表达式写错,看起来在抓,其实什么也没捕到
BPF 过滤不是自然语言,缺一个逻辑词或括号位置不对,整个条件就失效:
host 192.168.1.100 port 502❌ 缺and,tcpdump 会忽略port 502,实际等价于host 192.168.1.100src host A and dst port 502✅ 明确方向:只抓 A 发给本机 502 端口的包(即 Modbus 请求)tcp[tcpflags] & tcp-syn != 0✅ 抓 SYN 包;写成tcp-syn不加引号或大小写错误会报语法错- 想抓响应包却用了
src port 502,结果只看到本机发出去的 reply,漏掉对端发来的 request
建议先不加过滤跑几秒:sudo tcpdump -i lo -s 0 -c 5,确认有包出来再加条件。
Wireshark 打开后看不到明文?别怪 tcpdump,先看协议是否加密
抓到的包在 Wireshark 里显示为 TCP segment of a reassembled PDU 或全是十六进制,不一定是抓包问题:
port 443抓到的是 TLS 流量,-A或 Follow TCP Stream 只能看到加密载荷,tcpdump 本身不也不解密- Modbus TCP 若走 TLS 封装(如 modbus-TCP-over-TLS),同样看不到功能码,得用密钥导入 Wireshark 才能解密
- HTTP 明文但 Wireshark 显示乱码?检查是否误用了
-X(hex+ascii 混排)而非-A(纯 ascii),或者包真被-s截断了 - Wireshark 默认不解析某些私有协议(如自定义二进制协议),需手动设置 Decode As → TCP port 60000 → your-protocol
最常被跳过的动作是:确认 -s 0 和网卡是否匹配。这两个点没踩准,后面所有分析都是在错误数据上打转。
相关攻略
Linux怎么安装和配置VictoriaMetrics集群 Linux高性能时序数据库详解 想把VictoriaMetrics集群跑起来,首先得打破一个幻想:它可不是那种“一键安装”的单体服务。整个集群由vmstorage、vminsert、vmselect三个独立进程构成,必须分开部署、对齐参数、
Linux系统文本文件加密的5种专业方法与实战指南 在Linux操作系统中处理机密文档、配置信息或敏感数据时,直接以明文形式存储存在显著安全风险。本文将系统介绍五种经过验证的文本文件加密方案,涵盖从命令行工具到编辑器内置功能的完整解决方案。需要明确的是,Linux原生环境并无类似Windows No
MinIO数据加密与解密实战指南 在数据安全成为企业生命线的今天,对象存储的加密功能已成为不可或缺的核心能力。MinIO作为一款高性能的分布式对象存储系统,其原生支持的客户端数据加密与解密方案,为数据安全提供了强力保障。该方案基于业界广泛认可的AES-256-GCM加密算法,确保了数据在传输和静态存
Linux网络嗅探工具实战指南:精准检测网络入侵的有效方法 在网络安全防御体系中,基于Linux的被动流量嗅探分析是至关重要的一道防线。它不依赖于对攻击模式的预判,而是直接审视网络通信的原始数据,从而发现隐蔽的威胁。本文将为您提供一套基于Linux嗅探工具的实战方法,构建从异常发现、深度分析到快速响
Linux 与 Rust 生态系统的协同发展 当谈论系统软件的现代化与安全性时,Linux与Rust的结合已经从一个备受瞩目的技术趋势,演变为一条清晰且正在加速的实践路径。两者的协同并非简单的语言替换,而是一场围绕内核、工具链和基础设施的深度整合。那么,这场协同究竟是如何展开的?其背后的节奏与逻辑又
热门专题
热门推荐
全新一代雷克萨斯ES北京车展上市:混动首发29 99万,纯电版本后续推出 2026年北京车展,全新一代雷克萨斯ES正式揭开了面纱并公布售价。首发上市的混合动力版本,官方指导价定在了29 99万元。这只是一个开始,后续纯电动版本也将陆续登场。有意思的是,现款的ES200车型并不会就此退市,而是与新车型
还记得05后小花黄杨钿甜天价耳环风波吗? 时隔近一年,当事人黄杨钿甜终于首次接受采访,正式回应了那场沸沸扬扬的“天价耳环”风波。她本人也在第一时间转发了道歉声明。然而,从网友的普遍反应来看,这份迟来的回应与道歉,似乎并没有起到预想中的效果。 目前,黄杨钿甜的社交媒体评论区已然“沦陷”。前排的热门评论
《黑袍纠察队》第五季幕后:一场让“士兵男孩”都喊难的戏 《黑袍纠察队》第五季正播得火热,各种名场面轮番轰炸观众的眼球。不过,你可能想不到,剧中有些场景拍起来,对演员来说简直是种“折磨”。最近,“士兵男孩”的扮演者詹森·阿克斯就在采访里大倒苦水,透露了本季最难熬的戏份之一——正是他和“鞭炮女”Fire
布林带实战指南:在欧易平台捕捉波段机会的六个关键步骤 先明确一个核心逻辑:布林带的收口,往往预示着市场波动率下降、趋势启动在即;而它的开口,则明确告诉我们波动正在加剧,趋势可能延续。但光知道这个可不够,关键在于如何结合欧易平台的K线图、时间周期、三轨间距、价格突破以及中轨方向进行综合判断。下面,我们
在悬疑剧《方圆八百米》中,陈辉一开始卖药犯罪,只是单纯迫于现实的无奈,但从他用命嫁祸霍开明的那一刻起,他便已经彻底堕落,甚至还多了几分享受的感觉。 最初的陈辉,形象是弱小且无助的,内心充满痛苦与徘徊。他每一次铤而走险,动机都相当明确——为了保护高松格。 然而,事情从这里开始悄然变质。你猜怎么着?后来