## 客户端和服务端在一起使用lo抓包
sudo tcpdump -i lo -s 0 port 20003 -nnnn -XX -vv -w 20003.pcap
sudo tcpdump -i lo -s 0 port 9527 -XX -vv -w 9527.pcap //127.0.0.1
## 在本机抓
tcpdump -i bond0 -s 0 port 3030 -XX -vv -w 3030.pcap
# 在客户端机器抓proxy包
tcpdump host 11.197.7.142 and port 3027 -w /flash1/master.pcap
tcpdump host 11.63.238.106 and port 3270 -w /flash1/slave.pcap
# 报文搜索
frame contains "212241337100151017"
# filter
tcp.port==3140
ip.src==10.200.1.60
ip.dst==10.122.11.10
# tcpdump使用
Tcpdump类似mysql命令。后面可以带很多参数进行过滤
-s 0 意思是着让tcpdump自动选择合适的长度来抓取数据包
- vv 输出详细报文信息
## 实时打印包信息
tcpdump -i bond0 port 36065 -nnnn -tttt -XXX
# 公网抓包
tcpdump -i bond0 -s 0 port 10120 or host 8.132.123.243 -nnnn -vv -w 243xx.pcap
# 包分析
tcpdump -r 243xx.pcap -nnnn -A |less
tcpdump -r 243.pcap -nnnn -XXXX
# 打开多个wireshark windows命令
open -n /Applications/Wireshark.app
# 过滤thread_id
假设threadid=268509076(0x10011F94),过滤的条件为:94:1f:01:10 frame[175:4] == 94:1f:01:10
# 抓出query的包
sudo tcpdump -i bond0 "dst port 3100 and tcp[(((tcp[12:1]&0xf0)>>2)+4):1]=0x03" -w second.pcap