前面文章咱们介绍了wireshark图形界面抓取网络数据包的方法,这种方法主要用在Windows系统。实际生产环境中使用最多的抓取网络数据包是在linux系统上进行的,这篇文章主要介绍linux系统上最长使用的tcpdump抓包方法,抓取的数据包可直接使用wireshark或者tshark工具进行后续分析,十分方便。
另外,tcpdump一般是各linux发型版本预装的module,无需再进行安装。
一.tcpdump抓包常用参数
# man tcpdump //有参数及使用方法详细描述
- 描述
tcpdump抓包默认匹配抓包条件直接输出到屏幕,默认只输出抓取每条数据包简单信息,例如IP,port,消息提示信息。加“-w”参数,后跟文件名,将每条抓取到的数据包的详细信息写入文件,供后续离线分析。
当然tcpdump工具也可读取数据包文件,“-r”参数后跟文件名。“-V”参数后跟文件名列表文件,一次读取多个文件。不过一般我们很少使用tcpdump去读取抓包文件,因为tcpdump读取显示信息有限。 - 重要参数介绍
-D 显示可抓取的接口,可在此找寻你预抓取的接口名字
-i 跟接口名字,对跟定接口进行抓包
-G 循环抓取的秒数,达到设定的秒数,循环覆盖文件,可以与-W和-C组合使用
-C 抓包文件切割参数,后跟文件大小,单位是1,000,000 接近Mbyte单位,
如果抓包时间较长,一般我们会抓包过程中进行自动