linux tcpdump无脑简介

1. 前提条件

        需要root权限才可执行tcpdump命令

        需要通过ifconfig查看网卡信息以确定收集具体哪个网卡内的网络交互信息

        需要知道对面服务器的IP地址

2. 具体命令

        nohup tcpdump -S -n -w /tmp/tcpdump.dat -i <本机网卡名> ip host <对方IP地址> & > /tmp/nohup.out

        将<xxxx>替换为具体信息即可，其他字段已经不确定具体是什么意思了，现在处于把命令直接粘进去用的阶段

3. 停止

        我的经验是Ctrl+c无法使tcpdump停止。需要kill进程。

        首先通过ps -aux | grep dump找到tcpdump的PID

        然后通过kill -9 <tcpdump PID>杀掉tcpdump的进程

4. 查看输出

        查看输出命令tcpdump -r /tmp/tcpdump.dat

        输出信息里具体某个字段代表了什么意思暂时还没完全查出来。但是最简单的信息如，时间，从哪个IP发给了哪个IP，具体发送了什么内容还是能看出来的

5. 注意事项

        虽然叫tcpdump，但是也可以看到udp的信息。

        如果不Kill进程，tcpdump.dat文件会越来越大。

        似乎有方法指定收集多少信息后自动停止，还没研究。

        命令开始执行之后过一小会儿才会开始往tcpdump.dat文件里写内容，建议再开一个窗口用tail -f /tmp/tcpdump.dat来观察写入情况，写入了需要的内容之后再kill进程。