安装tcpdump命令:
[root@ok Desktop]# yum install wireshark* -y [root@ok Desktop]# which wireshark /usr/sbin/wireshark [root@ok Desktop]# rpm -qa|grep wireshark wireshark-devel-1.8.10-17.el6.x86_64 wireshark-1.8.10-17.el6.x86_64 wireshark-gnome-1.8.10-17.el6.x86_64 使用并保存tcpdump抓包结果,.pcap文件保存在root目录里: [root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -i #是指定要抓取的网卡 -w #指定结果保存的位置 [root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -v tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C189 packets captured 189 packets received by filter 0 packets dropped by kernel -v#主要是为了得到Got 15这个数,当想要停止的时候,按下ctrl + c [root@bass Desktop]# ll -h dump.pcap -rw-r--r--. 1 tcpdump tcpdump 18K Aug 30 13:19 dump.pcap 通过winSCP软件可下载.pcap文件,该文件将使用wireshark打开。 wireshark官网下载地址:https://www.wireshark.org/download.html 或 安装tcpdump:yun install tcpdump
使用tcpdump创建pcap文件时,它将截断捕获文件以缩短该文件,您可能无法理解。您可以使用以下命令将转储捕获到文件中:
tcpdump -s 0 port ftp or ssh -i eth0 -w mycap.pcap
在上面的命令中
-s 0会将捕获字节设置为最大,即65535,此捕获文件将不会被截断。
-i eth0用于提供要捕获的以太网接口。 如果不使用此选项,则默认值为eth0。
端口ftp或ssh是过滤器,它将仅捕获ftp和ssh数据包。 您可以删除它以捕获所有数据包。
-w mypcap.pcap将创建该pcap文件,该文件将使用wireshark打开。