OpenWrt 实时抓包完全指南：tcpdump 与 Wireshark 实战教程

在网络管理和故障排查中，数据包捕获（Packet Capture）是一项核心技能。OpenWrt 作为功能强大的开源路由器系统，内置了专业的抓包工具 tcpdump，配合桌面端的 Wireshark 分析软件，可以实现从数据采集到深度分析的完整工作流。

本文将详细介绍在 OpenWrt 环境中进行实时抓包的完整流程，包括环境准备、命令行参数详解、高级过滤技巧以及实际应用场景。

什么是 tcpdump？

tcpdump 是一个运行在类 Unix 系统上的命令行网络数据包分析工具。它能够拦截和显示通过网络接口的 TCP/IP 数据包，支持多种输出格式和复杂的过滤表达式。

tcpdump 的核心优势

• 轻量级：占用资源极少，适合在嵌入式设备（如路由器）上运行
• 功能强大：支持 Berkeley Packet Filter (BPF) 语法，可实现精确的流量筛选
• 实时性：可实时输出数据包信息，也可保存到文件供后续分析
• 广泛兼容：生成的 pcap 文件格式被 Wireshark、tshark 等主流工具原生支持

软件准备

1. OpenWrt 安装 Tcpdump

在 OpenWrt 系统中，tcpdump 通常需要通过 opkg 包管理器安装。根据您的存储需求和功能要求，可以选择完整版或精简版。

方法一：安装完整版 tcpdump（推荐）

# 更新软件包列表
opkg update

# 安装完整版 tcpdump
opkg install tcpdump

注意：完整版 tcpdump 包含所有功能模块，文件大小约 500KB，适合存储空间充足的设备。

方法二：安装精简版 tcpdump-mini

如果设备存储空间有限，可以安装精简版本：

opkg update
opkg install tcpdump-mini

提示：tcpdump-mini 去除了部分高级功能，但保留了核心抓包能力，文件大小仅约 100KB。

验证安装

安装完成后，执行以下命令验证是否成功：

tcpdump --version

如果显示版本信息，说明安装成功。

2. 安装 Wireshark 和终端工具

为了在本地计算机上实时查看和分析从 OpenWrt 传来的数据包，您需要安装以下工具：

Wireshark

网络协议分析工具，可以实时捕获和分析网络数据包，支持数百种协议解析

Tabby

跨平台的终端模拟器，支持 SSH、Telnet 等协议，适用于连接 OpenWrt 进行远程操作

Windows 用户额外准备

对于 Windows 用户，还需要下载 Plink（PuTTY Link），它是 PuTTY 套件中的命令行工具，用于建立 SSH 隧道传输数据流。

下载地址：PuTTY 官方下载页面

下载后，将 plink.exe 放置在系统 PATH 环境变量中，或记住其完整路径以便后续使用。

实时抓包原理

实时抓包的核心思想是通过 SSH 隧道将 OpenWrt 设备上 tcpdump 捕获的数据流直接传输到本地运行的 Wireshark 中，实现"边抓边看"的效果，无需先保存文件再导入。

工作流程如下：

OpenWrt (tcpdump) → SSH 加密通道 → 本地计算机 (Wireshark)

这种方式的优点包括：

• 即时反馈：无需等待抓包完成，可立即看到数据包
• 节省存储：不占用路由器存储空间
• 灵活控制：可随时停止抓包，Wireshark 自动结束会话

实时抓包操作步骤

基础命令结构

实时抓包的基本命令格式如下：

plink.exe -batch -ssh -pw [密码] [用户名]@[IP地址] "tcpdump [参数]" | "[Wireshark路径]" -k -i -

参数详解

参数	说明	示例
-batch	禁用交互提示，适合脚本化执行	必须
-ssh	使用 SSH 协议连接	必须
-pw	SSH 登录密码	-pw 123456
[用户名]@[IP地址]	OpenWrt 设备的登录凭证	root@192.168.1.1
-ni	tcpdump 参数：不解析主机名和端口号，提升性能	推荐
-s 0	tcpdump 参数：捕获完整数据包（默认只抓前 68-96 字节）	推荐
-w -	tcpdump 参数：将数据输出到标准输出（stdout）	必须
not port 22	BPF 过滤表达式：排除 SSH 流量，避免循环捕获	强烈推荐
-k	Wireshark 参数：立即开始捕获	必须
-i -	Wireshark 参数：从标准输入读取数据	必须

完整实战命令

场景一：Windows 系统（CMD）

重要提示

Windows 实测只能使用 命令提示符（cmd） 执行此命令，PowerShell 可能因管道处理机制不同而失败。

plink.exe -batch -ssh -pw 123456 root@192.168.1.1 "tcpdump -ni br-lan -s 0 -w - not port 22" | "D:\Program Files\Wireshark\Wireshark.exe" -k -i -

参数说明：

• -pw 123456：OpenWrt 的 SSH 登录密码（请替换为您的实际密码）
• root@192.168.1.1：OpenWrt 的用户名和 IP 地址
• -ni br-lan：监听桥接 LAN 接口（大多数 OpenWrt 的默认配置）
• "D:\Program Files\Wireshark\Wireshark.exe"：Wireshark 的安装路径（根据实际情况修改）

场景二：macOS / Linux 系统

在 macOS 或 Linux 上，可以使用原生的 ssh 命令替代 plink：

ssh root@192.168.1.1 "tcpdump -ni br-lan -s 0 -w - not port 22" | wireshark -k -i -

前提条件：确保已安装 Wireshark 并将其添加到系统 PATH 中。macOS 用户可通过 Homebrew 安装：brew install --cask wireshark

场景三：捕获特定接口

如果您的 OpenWrt 有多个网络接口，可以根据需要选择：

# 捕获 WAN 口流量（通常是 eth0 或 pppoe-wan）
tcpdump -ni eth0 -s 0 -w - not port 22

# 捕获无线接口流量
tcpdump -ni wlan0 -s 0 -w - not port 22

# 同时捕获多个接口（需要 tcpdump 支持）
tcpdump -ni any -s 0 -w - not port 22

高级过滤表达式

tcpdump 支持强大的 Berkeley Packet Filter (BPF) 语法，以下是一些实用的过滤示例：

按协议过滤

# 仅捕获 HTTP 流量（端口 80）
tcpdump -ni br-lan 'tcp port 80' -s 0 -w -

# 捕获 HTTPS 流量（端口 443）
tcpdump -ni br-lan 'tcp port 443' -s 0 -w -

# 捕获 DNS 查询（UDP 端口 53）
tcpdump -ni br-lan 'udp port 53' -s 0 -w -

# 捕获 ICMP（ping）流量
tcpdump -ni br-lan 'icmp' -s 0 -w -

按 IP 地址过滤

# 捕获特定主机的所有流量
tcpdump -ni br-lan 'host 192.168.1.100' -s 0 -w -

# 捕获特定网段的流量
tcpdump -ni br-lan 'net 192.168.1.0/24' -s 0 -w -

# 排除特定 IP
tcpdump -ni br-lan 'not host 192.168.1.1' -s 0 -w -

组合过滤条件

# 捕获来自特定 IP 的 HTTP 流量
tcpdump -ni br-lan 'src 192.168.1.100 and tcp port 80' -s 0 -w -

# 捕获除 SSH 外的所有 TCP 流量
tcpdump -ni br-lan 'tcp and not port 22' -s 0 -w -

# 捕获特定端口的 UDP 流量
tcpdump -ni br-lan 'udp portrange 5000-6000' -s 0 -w -

离线抓包模式

如果实时抓包不可行（例如网络不稳定或需要长时间监控），可以采用离线模式：先将数据包保存到文件，再传输到本地分析。

步骤一：在 OpenWrt 上抓包并保存

# 基本抓包命令
tcpdump -ni br-lan -s 0 -w /tmp/capture.pcap

# 限制抓包数量（例如只抓 1000 个包）
tcpdump -ni br-lan -s 0 -c 1000 -w /tmp/capture.pcap

# 按文件大小分割（每 10MB 一个文件）
tcpdump -ni br-lan -s 0 -C 10 -w /tmp/capture.pcap

# 按时间分割（每 5 分钟一个文件）
tcpdump -ni br-lan -s 0 -G 300 -w /tmp/capture_%Y%m%d_%H%M%S.pcap

步骤二：将文件传输到本地

方法一：使用 SCP（推荐）

scp root@192.168.1.1:/tmp/capture.pcap ./capture.pcap

方法二：使用 SFTP

sftp root@192.168.1.1
sftp> get /tmp/capture.pcap
sftp> exit

方法三：通过 Web 界面下载

如果 OpenWrt 安装了 LuCI 或 iStoreOS，可以通过网页文件管理器直接下载 /tmp/capture.pcap 文件。

步骤三：在 Wireshark 中打开

启动 Wireshark，选择 File → Open，找到下载的 .pcap 文件即可开始分析。

Wireshark 深度分析技巧

将数据包导入 Wireshark 后，可以利用其强大的分析功能进行深入排查。

1. 应用显示过滤器

Wireshark 的显示过滤器比 tcpdump 的捕获过滤器更灵活，可以在已捕获的数据中进行二次筛选：

http                    # 仅显示 HTTP 协议
dns                     # 仅显示 DNS 查询
ip.addr == 192.168.1.100  # 特定 IP 的流量
tcp.port == 443         # 特定端口的流量
http.request.method == "GET"  # HTTP GET 请求

2. 追踪数据流

右键点击任意数据包，选择 Follow → TCP Stream（或 UDP/HTTP Stream），可以查看完整的会话内容，非常适合调试 HTTP 请求和响应。

3. 统计分析

• Protocol Hierarchy：Statistics → Protocol Hierarchy，查看各协议的流量占比
• Conversations：Statistics → Conversations，分析主机间的通信情况
• Endpoints：Statistics → Endpoints，列出所有通信端点及其流量统计

4. 着色规则

Wireshark 默认使用颜色区分不同类型的流量：

• 浅紫色：TCP 流量
• 浅蓝色：UDP 流量
• 黑色背景红色文字：错误或有问题的数据包
• 绿色：HTTP 流量

您可以在 View → Coloring Rules 中自定义这些规则。

常见网络故障排查场景

场景一：网页无法访问

排查步骤：

1. 捕获 DNS 流量，确认域名解析是否正常：

   tcpdump -ni br-lan 'udp port 53' -s 0 -w /tmp/dns.pcap

2. 在 Wireshark 中检查是否有 DNS 响应，以及解析的 IP 是否正确

3. 捕获 HTTP/HTTPS 流量，检查 TCP 握手是否成功：

   tcpdump -ni br-lan 'tcp port 80 or tcp port 443' -s 0 -w /tmp/web.pcap

4. 查看是否有 TCP Retransmission（重传）或 Connection Reset（连接重置）

场景二：网速缓慢

排查步骤：

1. 捕获所有流量，观察是否有异常的大量数据包：

   tcpdump -ni br-lan -s 0 -w /tmp/slow.pcap

2. 在 Wireshark 中使用 Statistics → IO Graphs 查看流量趋势

3. 检查是否有大量的广播包或 ARP 请求，可能表明存在网络环路或 ARP 欺骗

4. 分析 TCP Window Size，过小可能导致吞吐量下降

场景三：特定设备无法联网

排查步骤：

1. 针对该设备的 IP 地址进行抓包：

   tcpdump -ni br-lan 'host 192.168.1.XXX' -s 0 -w /tmp/device.pcap

2. 检查 DHCP 请求和响应是否正常

3. 查看是否有正确的网关和 DNS 配置

4. 测试 ping 网关和外部地址，观察 ICMP 流量

常见问题与解决方案

问题一：权限被拒绝

现象：

tcpdump: br-lan: Permission denied

解决方案：

• 确保以 root 用户身份登录 OpenWrt
• 检查 tcpdump 是否具有执行权限：ls -l /usr/sbin/tcpdump
• 如有必要，重新安装：opkg reinstall tcpdump

问题二：存储空间不足

现象：

tcpdump: /tmp/capture.pcap: No space left on device

解决方案：

1. 检查可用空间：df -h /tmp
2. 使用 -C 参数限制单个文件大小
3. 定期清理旧的抓包文件：rm /tmp/*.pcap
4. 如果设备有 USB 存储，挂载后保存到外部存储

问题三：抓包影响网络性能

现象： 抓包过程中网络延迟增加或丢包

解决方案：

1. 使用更精确的过滤表达式，减少捕获的数据量
2. 避免在生产高峰期进行全量抓包
3. 使用 -s 参数限制捕获长度（如果不需要完整数据包）
4. 监控系统负载：top 或 htop

问题四：Wireshark 无法接收数据

现象： 命令执行后 Wireshark 没有反应

解决方案：

1. 确认 Wireshark 路径正确（Windows 用户特别注意）
2. 尝试先在 OpenWrt 上单独运行 tcpdump 命令，确认能正常输出
3. 检查防火墙是否阻止了 SSH 连接
4. Windows 用户使用 CMD 而非 PowerShell

问题五：捕获不到预期流量

现象： 抓包文件中没有目标数据包

解决方案：

1. 确认选择了正确的网络接口（br-lan、eth0、wlan0 等）
2. 检查过滤表达式是否正确，可先不使用过滤器测试
3. 确认流量确实经过该接口（旁路由模式下可能需要调整）
4. 使用 tcpdump -ni any 捕获所有接口进行排查

最佳实践建议

1. 安全注意事项

• 不要在公共网络上暴露 SSH 密码：建议使用 SSH 密钥认证替代密码
• 敏感数据脱敏：抓包文件可能包含明文密码和个人信息，分享前务必审查
• 遵守法律法规：仅在您拥有管理权限的网络上进行抓包操作

2. 性能优化

• 精确过滤：尽量在捕获阶段就过滤掉无关流量，减轻后续分析负担
• 合理设置缓冲区：对于高速网络，可增加 tcpdump 的缓冲区大小
• 分段抓包：长时间监控时使用 -G 或 -C 参数分段保存

3. 文档记录

• 记录抓包时间：便于后续关联其他日志
• 标注关键事件：在抓包期间记录重要操作的时间点
• 保存命令历史：记录使用的 tcpdump 命令和过滤条件

4. 学习资源

• tcpdump 官方手册：man tcpdump
• Wireshark 用户指南：https://www.wireshark.org/docs/
• BPF 语法参考：man pcap-filter

总结

掌握 OpenWrt 实时抓包技术，能够显著提升网络故障排查的效率和专业度。通过本文介绍的 tcpdump 与 Wireshark 组合方案，您可以：

✅ 快速定位网络问题：从数据包层面理解网络行为
✅ 深入分析协议交互：理解 HTTP、DNS、TCP 等协议的工作原理
✅ 优化网络性能：识别瓶颈和异常流量
✅ 增强安全意识：检测潜在的网络攻击和异常行为

建议您在实际环境中多加练习，逐步熟悉各种过滤表达式和 Wireshark 分析技巧。随着经验的积累，您将能够更高效地解决复杂的网络问题。

延伸阅读：如果您对 OpenWrt 的其他高级功能感兴趣，可以查看我们的 DDNS 设置指南、IPv6 关闭教程 以及 iStoreOS 插件推荐。