深入Linux网络世界（小白也能学会的网络流量分析实战指南）

实战一：使用 tcpdump 抓包（tcpdump使用教程）

tcpdump 是几乎所有Linux发行版默认安装或可轻松安装的工具。它可以直接捕获网卡上的原始数据包。

安装 tcpdump

如果你的系统没有安装，可以使用以下命令：

# Ubuntu/Debiansudo apt install tcpdump# CentOS/RHELsudo yum install tcpdump  

基本用法

最简单的命令是直接运行 tcpdump，它会监听默认网卡：

sudo tcpdump  

但通常我们会指定网卡（如 eth0 或 ens33）并限制抓包数量：

sudo tcpdump -i eth0 -c 10  

上述命令表示：监听 eth0 网卡，只抓取前10个数据包后退出。

过滤特定流量

你可以通过表达式过滤目标IP、端口或协议：

# 只抓取发往或来自 8.8.8.8 的流量sudo tcpdump host 8.8.8.8# 只抓取 TCP 80 端口（HTTP）sudo tcpdump port 80# 抓取与 192.168.1.100 的 ICMP 流量（ping）sudo tcpdump host 192.168.1.100 and icmp  

实战二：使用 Wireshark 图形化分析（Wireshark抓包）

如果你更喜欢图形界面，Wireshark 是业界标准的网络协议分析工具。它支持数百种协议解析，并提供强大的过滤和统计功能。

安装与启动

# Ubuntu/Debiansudo apt install wireshark# 启动（建议用普通用户运行，避免权限问题）wireshark  

启动后，选择一个网络接口（如 eth0），点击“Start”即可开始抓包。你可以在顶部输入过滤规则，例如 http 或 ip.addr == 192.168.1.1 来筛选流量。

小贴士：保存与分析

无论是 tcpdump 还是 Wireshark，都可以将抓包结果保存为 .pcap 文件，便于后续分析或分享：

# 使用 tcpdump 保存到文件sudo tcpdump -i eth0 -w capture.pcap# 之后可用 Wireshark 打开该文件进行图形化分析wireshark capture.pcap  

总结

通过本教程，你已经掌握了 Linux 下最基本的网络流量分析方法。无论是使用命令行的 tcpdump 快速排查问题，还是借助 Wireshark 深入分析协议细节，这些技能都将极大提升你的运维和开发效率。记住，Linux网络流量分析不仅是技术活，更是解决问题的关键思维训练。

现在，打开你的终端，尝试抓几个包吧！