tcpdump + wireshark 分析trace

尽管有些linux版本上有wireshark的图形界面版本，安装wireshark还是要浪费一定时间。

此时可以用tcpdump将trace dump下来，保存成wireshark可以阅读的格式，之后导入local电脑的wireshark里分析。

tcpdump命令

-i eth0 监听eth0上的所有通信

-w filename.pcap 将dump下来的trace保存成以.pcap结尾的文件

src host 从哪个IP发出的，缺省为本机eth0 IP

dst host 去往哪个IP

-A 输出human可以理解的格式

如果要监控去往多个IP的话，用or连接

以下栗子是从本机到googleplay的通讯：

tcpdump -i eth0 -w file.pcap -A host xxx.xxx.xxx.xxx and dst host 172.217.31.206 or 172.217.160.142 or 172.217.26.174 or 172.217.26.206 or 216.58.197.46 or 216.58.197.78

保存出来的file.pcap 可以用sftp命令从linux上导出来，放到MAC or Windows本机上用wireshark客户端打开分析