tcpdump抓包儲存cap檔案(實用)
1、tcpdump是對網路上的資料包進行截獲的包分析工具;
2、安裝:yum install tcpdump(yum安裝即可),安裝完成之後建立一個資料夾,專門存放抓取資料儲存的檔案,執行tcpdump相關命令在該檔案下執行就可以了;
3、例子:抓取網絡卡eht0 及192.168.168.18ip和8081埠;
命令:tcpdump -i eht0 -w file.cap host 192.168.168.18 and tcp port 8081;
-w :引數指定將監聽到的資料包寫入檔案中儲存,file.cap就是該檔案。
-i :引數指定tcpdump監聽的網路介面。
注意:每個伺服器的網絡卡不一定是eht0,先使用ipconfig檢視清楚自己又幾個網絡卡,要監聽那個 叫什麼名字等。
然後再檢視儲存的檔案就可以了!
----------------------------------------------------------------------------------------------------------------
抓取到檔案之後我將檔案傳到我的windows上面,這裡就涉及到一個如何開啟cap檔案的問題;
我用的是Wireshark,開啟之後顯示如下圖:
Wireshark下載地址:http://www.onlinedown.net/soft/2883.htm
解釋一下上圖三行的具體意義:
1、最上面為資料包列表,用來顯示截獲的每個資料包的總結性資訊;
2、中間為協議樹,用來顯示選定的資料包所屬的協議資訊;
3、最下邊是以十六進位制形式表示的資料包內容,用來顯示資料包在物理層上傳輸時的最終形式。
資料包列表中,第一列是編號(如第1個包),第二列是擷取時間(0.000000),第三列source
協議樹可以得到被截獲資料包的更多資訊,如主機的MAC地址(Ethernet II)、IP地址(Internet
protocol)、UDP埠號(user datagram protocol)以及UDP協議的具體內容(data)。
另外在排查問題的時候,為了更準確的定位問題,會對抓的包利用Wireshark做過濾,參考-->https://blog.csdn.net/wojiaopanpan/article/details/69944970;
我這裡具體做的過濾就是我的伺服器通過網絡卡單向發出去的包,原理就是源地址source發往目標的就是單向的;
過濾條件命令“ip.src eq 192.168.60.60”;如: