1. 前提条件
需要root权限才可执行tcpdump命令
需要通过ifconfig查看网卡信息以确定收集具体哪个网卡内的网络交互信息
需要知道对面服务器的IP地址
2. 具体命令
nohup tcpdump -S -n -w /tmp/tcpdump.dat -i <本机网卡名> ip host <对方IP地址> & > /tmp/nohup.out
将<xxxx>替换为具体信息即可,其他字段已经不确定具体是什么意思了,现在处于把命令直接粘进去用的阶段
3. 停止
我的经验是Ctrl+c无法使tcpdump停止。需要kill进程。
首先通过ps -aux | grep dump找到tcpdump的PID
然后通过kill -9 <tcpdump PID>杀掉tcpdump的进程
4. 查看输出
查看输出命令tcpdump -r /tmp/tcpdump.dat
输出信息里具体某个字段代表了什么意思暂时还没完全查出来。但是最简单的信息如,时间,从哪个IP发给了哪个IP,具体发送了什么内容还是能看出来的
5. 注意事项
虽然叫tcpdump,但是也可以看到udp的信息。
如果不Kill进程,tcpdump.dat文件会越来越大。
似乎有方法指定收集多少信息后自动停止,还没研究。
命令开始执行之后过一小会儿才会开始往tcpdump.dat文件里写内容,建议再开一个窗口用tail -f /tmp/tcpdump.dat来观察写入情况,写入了需要的内容之后再kill进程。