tcpdump 命令行抓包工具

命令行版的网络协议分析器 —— 直接在终端抓取、显示流经网卡的数据包。

跟 Wireshark 的区别

tcpdump —— 命令行,轻量,适合服务器、远程、脚本自动化
Wireshark —— 图形界面,适合深度交互式分析

常见用法:用 tcpdump 在服务器上抓包存成 .pcap(packet capture),再下载到本地用 Wireshark 细看。

一条典型命令

tcpdump -i eth0 -w capture.pcap port 443

抓 eth0 网卡上所有 443 端口(HTTPS)的流量,存到文件。

用在哪

排查网络故障
取证时抓现场流量
验证防火墙规则是否生效

属于抓包这一行为的基础工具,预装在大多数 Linux 上。