尽管有些linux版本上有wireshark的图形界面版本,安装wireshark还是要浪费一定时间。
此时可以用tcpdump将trace dump下来,保存成wireshark可以阅读的格式,之后导入local电脑的wireshark里分析。
tcpdump命令
-i eth0 监听eth0上的所有通信
-w filename.pcap 将dump下来的trace保存成以.pcap结尾的文件
src host 从哪个IP发出的,缺省为本机eth0 IP
dst host 去往哪个IP
-A 输出human可以理解的格式
如果要监控去往多个IP的话,用or连接
以下栗子是从本机到googleplay的通讯:
tcpdump -i eth0 -w file.pcap -A host xxx.xxx.xxx.xxx and dst host 172.217.31.206 or 172.217.160.142 or 172.217.26.174 or 172.217.26.206 or 216.58.197.46 or 216.58.197.78
保存出来的file.pcap 可以用sftp命令从linux上导出来,放到MAC or Windows本机上用wireshark客户端打开分析