用tcpdump 抓下来的包(保存为文件),可以用WireShark 打开。
把 tcpdump抓下来的包保存为文件,用-w参数。比如:
tcpdump -i eth0 -w filename
2,tcpdump抓包的时候,会对数据包进行截取,默认只保存96个字节,例如以下:
[root@TJ-A-CASP-1 ~]# tcpdump host 10.243.255.241 -w sms-20101206-casp1-01
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
这样就看不到数据包的信息了,用-s参数可以指定保留数据包多少字节。例如:
[root@TJ-A-CASP-1 ~]# tcpdump -s 65535 host 10.243.255.241 -w sms-20101206-casp1-01
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
solaris系统上抓包命令:snoop
执行命令:snoop -o ./test.pcap 10.1.125.197
这个命令是要求系统把与10.1.125.197通讯的数据包记录到test.pcap文件中
抓下来的数据包保存后,也可以用wireshark打开。
AIX系统上的抓包命令:iptrace
典型命令格式:iptrace -d 10.1.1.1 -b /temp/iptrace.pcap
其中-d 后面表示目标地址,-b 表示双向通信
这条命令是将与10.1.1.1通讯的数据包记录到iptrace.pcap文件中。
抓下来的数据包保存后,也可以用wireshark打开。
需要注意的是:抓包完成时一定要kill掉iptrace的进程(使用ctrl+c无法终止抓包程序),否则会一直抓包。
转载于:https://blog.51cto.com/ultratu/521043