tcpdump抓包并用于wireshark解析

抓包工具

抓包工具：是拦截查看网络数据包内容的软件。计算机通过向网络上传和从网络下载一些数据包来实现数据在网络中的传播。这些数据包不会一直保存在用户的计算机上。抓包工具可以将这些数据包保存下来，我们就可以分析出这些数据包的内容和用途。

需要用到抓包工具的常见运维场景

• 调用链路长且耗时，用尽其他手段仍然无法完全定位在哪一个节点耗时，可以抓包分析时延。
• 上下游扯皮，上游说明明传了某个数据，下游说就是没有这个数据。可以考虑抓包
• 上下游编解码出现乱码，可以考虑抓包看看实际数据。

tcpdump抓包工具

tcpdump是linux下的一款抓包工具
tcpdump权限：一般情况下，执行tcpdump需要sudo权限。除非单独对普通用户授权

sudo tcpdump -i eth0 host 99.0.36.xxx -w /tmp/tcpdump.pacp

-i 指定监听网络接口
-w 将捕获到的信息保存到文件中，且不分析和打印在屏幕
-r 从指定的文件中读取数据，一般是-w保存的文件

tcpdump -r tcpdump.pacp

输出pacp文件，可以在windows系统使用wireshark打开来解析分析

如果遇到wireshark打不开tcpdump输出的pacp文件，如以下报错：
The file " " isn’t a capture file in a format wireshark understands.
可能是因为在使用tcpdump命令输出pacp文件时使用了重定向>输出 ，实际应使用-w参数

tcpdump -i eth0 src host 192.168.1.*** > /tmp/info.pcap 
tcpdump -i eth0 src host 192.168.1.*** -w /tmp/info.pcap

wireshark介绍

//待写