用tcpdump 抓下来的包(保存为文件),可以用WireShark 打开。

把 tcpdump抓下来的包保存为文件,用-w参数。比如:
tcpdump -i eth0 -w filename

2,tcpdump抓包的时候,会对数据包进行截取,默认只保存96个字节,例如以下:
[root@TJ-A-CASP-1 ~]# tcpdump host 10.243.255.241 -w sms-20101206-casp1-01
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

这样就看不到数据包的信息了,用-s参数可以指定保留数据包多少字节。例如:

[root@TJ-A-CASP-1 ~]# tcpdump -s 65535 host 10.243.255.241 -w sms-20101206-casp1-01
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes


solaris系统上抓包命令:snoop
执行命令:snoop -o ./test.pcap 10.1.125.197
这个命令是要求系统把与10.1.125.197通讯的数据包记录到test.pcap文件中

抓下来的数据包保存后,也可以用wireshark打开。

AIX系统上的抓包命令:iptrace

典型命令格式:iptrace -d 10.1.1.1 -b /temp/iptrace.pcap
 
其中-d 后面表示目标地址,-b 表示双向通信
 
这条命令是将与10.1.1.1通讯的数据包记录到iptrace.pcap文件中。
抓下来的数据包保存后,也可以用wireshark打开。

需要注意的是:抓包完成时一定要kill掉iptrace的进程(使用ctrl+c无法终止抓包程序),否则会一直抓包。