tcpdump抓包保存cap文件(实用)

1、tcpdump是对网络上的数据包进行截获的包分析工具;

2、安装:yum install tcpdump(yum安装即可),安装完成之后创建一个文件夹,专门存放抓取数据保存的文件,执行tcpdump相关命令在该文件下执行就可以了;

3、例子:抓取网卡eht0  及192.168.168.18ip和8081端口;

                 命令:tcpdump -i eht0  -w file.cap host 192.168.168.18 and tcp port 8081;

               -w :参数指定将监听到的数据包写入文件中保存,file.cap就是该文件。

               -i   :参数指定tcpdump监听的网络界面。

注意:每个服务器的网卡不一定是eht0,先使用ipconfig查看清楚自己又几个网卡,要监听那个 叫什么名字等。

tcpdump抓包保存cap文件(实用)_第1张图片

然后再查看保存的文件就可以了!

----------------------------------------------------------------------------------------------------------------

抓取到文件之后我将文件传到我的windows上面,这里就涉及到一个如何打开cap文件的问题;

我用的是Wireshark,打开之后显示如下图:

Wireshark下载地址:http://www.onlinedown.net/soft/2883.htm

tcpdump抓包保存cap文件(实用)_第2张图片

解释一下上图三行的具体意义:

1、最上面为数据包列表,用来显示截获的每个数据包的总结性信息;

2、中间为协议树,用来显示选定的数据包所属的协议信息;

3、最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。

数据包列表中,第一列是编号(如第1个包),第二列是截取时间(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是这个包使用的协议(这里是UDP协议),第六列info是一些其它的信息,包括源端口号和目的端口号(源端口:58459,目的端口:54062)。

协议树可以得到被截获数据包的更多信息,如主机的MAC地址(Ethernet II)、IP地址(Internet 
protocol)、UDP端口号(user datagram protocol)以及UDP协议的具体内容(data)。

另外在排查问题的时候,为了更准确的定位问题,会对抓的包利用Wireshark做过滤,参考-->https://blog.csdn.net/wojiaopanpan/article/details/69944970;

我这里具体做的过滤就是我的服务器通过网卡单向发出去的包,原理就是源地址source发往目标的就是单向的;

过滤条件命令“ip.src eq 192.168.60.60”;如:

tcpdump抓包保存cap文件(实用)_第3张图片

 

你可能感兴趣的:(linux)