如何在 Rocky Linux 中使用 tcpdump 捕获特定端口的网络流量？

Question

Accepted Answer

在 Rocky Linux 中使用 tcpdump 捕获特定端口的网络流量步骤如下：

基础命令：

sudo tcpdump -i <接口名> port <端口号>  # 例：捕获 eth0 的 80 端口流量
sudo tcpdump -i any port 443           # 监听所有接口的 443 端口

过滤协议：添加 tcp 或 udp，如 port 53 and udp。
保存结果：使用 -w 保存为 pcap 文件，如 sudo tcpdump -i any port 22 -w ssh_traffic.pcap。

高级选项：

注意：

Answer

在Rocky Linux中使用tcpdump捕获特定端口流量时，我通常通过tcpdump -nni <网卡> port <端口>命令实现，同时总结以下实践经验：

精确过滤
通过tcp port 80或udp port 53区分协议类型，避免无关流量干扰。当需要抓取多个端口时使用(port 80 or port 443)逻辑语法，注意括号需用反斜杠转义
网卡选择痛点
在拥有多网卡的服务器中，必须通过-i eth0明确指定目标网卡。曾因未指定网卡导致抓取到本地回环流量（lo接口）而浪费数小时排查时间
性能调优
高流量场景下添加-B 4096调整缓冲区大小防止丢包，配合-c 1000限制抓包数量避免磁盘溢出。某次抓取10Gbps业务流量时因未限制包数量导致系统OOM崩溃
输出解析技巧
使用-w capture.pcap保存原始数据后用Wireshark分析。直接查看实时输出时建议添加-l启用行缓冲，避免多行日志穿插影响可读性
特权与权限
默认需要root权限执行，但可通过setcap CAP_NET_RAW+ep /usr/sbin/tcpdump赋予普通用户抓包权限。该操作需权衡安全风险

遇到的典型挑战：

推荐组合命令示例： tcpdump -nn -i eth0 -s0 -B 2048 'tcp port 8080 and host 10.0.0.5' -w app_debug.pcap 该命令实现了全量抓取（-s0）、防止IP分片（-B缓冲）、过滤特定主机和端口的TCP流量

Answer

在Rocky Linux中使用tcpdump捕获特定端口的网络流量，可通过以下步骤实现：

基础命令：
```
sudo tcpdump -i <接口名> port <端口号>
```
示例：sudo tcpdump -i eth0 port 80 捕获eth0网卡的80端口流量。
高级过滤：
- 指定协议：sudo tcpdump -i eth0 tcp port 22 抓取SSH的TCP流量
- 捕获进出双向流量：port <源或目标端口>（默认行为）
输出优化：
- -n 禁用DNS解析（加速分析）
- -w output.pcap 保存为Wireshark可读文件
- -v/-vv 增加输出详细度
调试与权限：
- 使用ip a确认网卡名称（如ens192）
- 无权限时可通过sudo或cap_net_admin能力授权

关键点：通过port过滤条件精准定位流量，结合协议类型和输出控制实现高效诊断。建议优先保存原始数据（.pcap）供后续深度分析。

Answer

捕获指定端口流量（示例：端口80）：

sudo tcpdump -i <接口名> port <端口号> -nn -vv
# 示例：sudo tcpdump -i eth0 port 80 -nn -vv

附加常用参数：
- -w file.pcap 保存为抓包文件
- -c 50 捕获50个包后退出
- tcp/udp 指定协议类型（例：port 53 and udp）

复合过滤条件：

sudo tcpdump -i eth0 '(src port 443 || dst port 443)'

通过Ctrl+C终止捕获，用tcpdump -r file.pcap读取保存的流量