文章总结： 本文是一篇关于tcpdump抓包实战技巧的技术文章，核心是强调在渗透测试和网络分析中应‘少抓、精抓’，即使用BPF过滤器精准筛选流量以提升效率。文章提供了按TCP标志位（如SYN、RST、FIN）抓包、过滤无意义ACK包、抓取特定应用层字符（如POST/GET）等具体命令和过滤条件，并指出从运维、防守和红队不同视角理解正常与异常流量行为的重要性。最后建议延伸实践重传、C2流量及DNS隧道识别等模块，强调理解原理而非盲目堆砌工具。 综合评分： 85 文章分类： 渗透测试,网络安全,安全工具,红队

tcpdump抓包那点事：少抓、精抓

原创

花鸟 花鸟

花鸟在线

2026年2月18日 08:31 福建

一句话：先想清楚要抓什么，再写过滤条件，最后再动手。

tcpdump是环境自带的，用 BPF 过滤器精准筛选数据 → 只留下“有意义的流量”。避免在噪声中被“掩埋”。

核心：

少抓

精抓

带条件抓

带状态抓

！！

能力结构
协议结构要理解↓会写 BPF↓会控制性能↓会结构化分析↓会结合攻击链思维

一、

1、按tcp标志位抓包

只抓SYN，判断谁发起外连

tcpdump -i eth0 ‘tcp[tcpflags] & tcp-syn != 0’

2、只抓RST，判断被拒绝

tcpdump -i eth0 ‘tcp[tcpflags] & tcp-rst != 0’

3、只抓FIN

tcpdump -i eth0 ‘tcp[tcpflags] & tcp-fin != 0’

二、

TCP有大量的ack，过滤掉无意义的流量

tcpdump -i eth0 ‘tcp[((tcp[12] & 0xf0) >> 2):4] != 0’

三、

1、抓特定字符

tcpdump -i eth0 -A ‘tcp port 80 and tcp[((tcp[12] & 0xf0) >> 2):4] = 0x504f5354’

0x504f5354=POST;

0x47455420=GET

以上是TCP三次握手异常分析基本要领，感兴趣可以扩散下思路，变化的组合。

从运维角度主要关注业务连续性，从防守视角关注这里是否有异常（外连、外发、C2特征、横向行为）

所以从红队视角要知行一二。因为要知晓正常的行为是什么，才能更好领悟异常的行为是什么样。

延伸实践下其他模块，例如：

• 重传 / 窗口 / 拥塞排查
• C2 流量特征识别
• DNS 隧道流量识别模型

理解原理，切勿盲目堆工具。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：花鸟在线 花鸟 花鸟《tcpdump抓包那点事：少抓、精抓》