Linux-tcpdump命令

Posted 2021-03-02 青春不再见

Linux tcpdump命令用于倾倒网络传输数据。

执行tcpdump指令可列出经过指定网络界面的数据包文件头，在Linux操作系统中，你必须是系统管理员。

简单说一句话---抓包

常用的参数：

-c：指定要抓取的包数量。

-i interface：指定tcpdump需要监听的接口。默认会抓取第一个网络接口

-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断，若出现包截断，
：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，
：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。

-w<数据包文件> 把数据包数据写入指定的文件。

语法：

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

 

实例：

tcpdump  -i eth0 host 10.66.20.8 -s5000 -w /home/wangzn15/test/xxx201.cap

 

xxx201.cap为后缀名的是Wireshark可以打开

 

 

 

---参考文档

https://www.jianshu.com/p/d9162722f189