tcpdump命令抓取网络数据包并用wireshark软件分析

1、tcpdump命令部署

1.1、源码下载

(1)下载网址：http://www.tcpdump.org；
(2)下载匹配的libpcap库和tcpdump库；
(3)编译tcpdump命令依赖libpcap库，所以要先编译libpcap库再编译tcpdump命令；

1.2、源码编译

1.2.1、编译libpcap-1.10.4.tar.gz

tar -zxvf libpcap-1.10.4.tar.gz 
cd libpcap-1.10.4
./configure --prefix=/home/tcpdump/lib --host=arm64 CC=aarch64-mix410-linux-gcc --with-pcap=linux
make
make install

1.2.2、编译tcpdump-4.99.4.tar.gz

tar -zxvf tcpdump-4.99.4.tar.gz 
cd tcpdump-4.99.4
./configure --prefix=/home/tcpdump/bin --host=arm64 CC=aarch64-mix410-linux-gcc 
make
make install

最后会在指定安装目录/home/tcpdump/bin下生成tcpdump命令；

1.3、注意事项

(1)要将libpcap-1.10.4.tar.gz和tcpdump-4.99.4.tar.gz放到同一个目录下，然后进行解压的编译；
(2)要放在同一个目录编译的原因是，在tcpdump工程里，默认规定了libpcap.a的路径；
(3)如果你熟练掌握Makefile，也可以自行修改libpcap.a的路径，不放在同一个目录也可以；

4、使用tcpdump命令抓包

#抓取网卡eth0的数据，并将信息保存到/var/dump.pcap文件
./tcpdump -i eth0 -s0  -w /var/dump.pcap

#抓取网卡eth0的数据，将信息保存到/var/dump.pcap文件，读信息进行过滤，只抓取目标地址是192.168.5.100 或者 192.168.5.2并且是采用udp协议的数据包
./tcpdump -i eth2 dst 192.168.5.100 or 192.168.5.2 and udp -s0  -w /var/dump.pcap

5、使用wireshark软件分析

用wireshark软件打开保存tcpdump命令抓取数据包信息的dump.pcap文件，接下来就是筛选出需要的数据包并分析，这里不详细介绍wireshark软件使用方法；