首页 > 其他教程 > 使用WireShark和tcpdump进行远程数据包捕获.pcap文件

使用WireShark和tcpdump进行远程数据包捕获.pcap文件

安装tcpdump命令:

[root@ok Desktop]# yum install wireshark* -y
[root@ok Desktop]# which wireshark 
/usr/sbin/wireshark
[root@ok Desktop]# rpm -qa|grep wireshark
wireshark-devel-1.8.10-17.el6.x86_64
wireshark-1.8.10-17.el6.x86_64
wireshark-gnome-1.8.10-17.el6.x86_64

使用并保存tcpdump抓包结果,.pcap文件保存在root目录里:

[root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -i #是指定要抓取的网卡 -w #指定结果保存的位置 [root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -v tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C189 packets captured 189 packets received by filter 0 packets dropped by kernel -v#主要是为了得到Got 15这个数,当想要停止的时候,按下ctrl + c [root@bass Desktop]# ll -h dump.pcap -rw-r--r--. 1 tcpdump tcpdump 18K Aug 30 13:19 dump.pcap
通过winSCP软件可下载.pcap文件,该文件将使用wireshark打开。
wireshark官网下载地址:https://www.wireshark.org/download.html

或
安装tcpdump:yun install tcpdump

使用tcpdump创建pcap文件时,它将截断捕获文件以缩短该文件,您可能无法理解。您可以使用以下命令将转储捕获到文件中:

tcpdump -s 0 port ftp or ssh -i eth0 -w mycap.pcap

在上面的命令中

-s 0会将捕获字节设置为最大,即65535,此捕获文件将不会被截断。

-i eth0用于提供要捕获的以太网接口。 如果不使用此选项,则默认值为eth0。

端口ftp或ssh是过滤器,它将仅捕获ftp和ssh数据包。 您可以删除它以捕获所有数据包。

-w mypcap.pcap将创建该pcap文件,该文件将使用wireshark打开。

发表回复