1、确认服务器网卡有IP地址:
linux系统:ifconfig,查看网卡ip
1、如果网卡没有ip则不能使用含有此网卡相关的命令,如图中的eth0和eth1
如果使用命令:tcpdump -i eth0 host 10.213.72.186 -w /tmp/snmp_0414.cap
则会告警提示此网卡没有ip address:tcpdump: WARNING: eth0: no IPv4 address assigned
2、必须使用有ip 的 比如图中的 xenbr0 或xenbr1,使用命令:tcpdump -i xenbr0 host 10.213.72.186 -w /tmp/snmp_0414.cap
3、在使用抓包命令同时,服务器操作界面新打开一个窗口向输入触发设备发送报文请求并收到报文回应。
4、服务器操作界面:“ctrl+c”停止抓包
5、将抓到的包导出到本地使用wireshark软件解析报文
6、如果报文是加密了,如SNMPv3报文,要根据相关参数解密报文
2、服务器抓包-tcpdump抓包命令
tcpdump 的抓包保存到文件的命令参数是-w xxx.cap
抓eth1的包
tcpdump -i eth1 -w /tmp/xxx.cap
抓 192.168.1.123的包
tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap
抓192.168.1.123的80端口的包
tcpdump -i eth1 host 192.168.1.123 and port 80 -w /tmp/xxx.cap
抓192.168.1.123的icmp的包
tcpdump -i eth1 host 192.168.1.123 and icmp -w /tmp/xxx.cap
抓192.168.1.123的80端口和110和25以外的其他端口的包
tcpdump -i eth1 host 192.168.1.123and ! port 80 and ! port 25 and ! port 110 -w /tmp/xxx.cap
抓vlan 1的包
tcpdump -i eth1 port 80 and vlan 1 -w /tmp/xxx.cap
抓pppoe的密码
tcpdump-i eth1 pppoes -w /tmp/xxx.cap
以100m大小分割保存文件, 超过100m另开一个文件
-C 100m
抓10000个包后退出
-c 10000
后台抓包, 控制台退出也不会影响
nohup tcpdump -i eth1 port 110 -w /tmp/xxx.cap &