tcpdump 與wireshark

Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實現：在 Linux 裏抓包，然後在Windows 裏分析包。

[root@data-1-2 tools]# tcpdump tcp -s 0 -i eth0  and  host 10.0.3.81 -w /tools/0427.pcap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C123 packets captured
125 packets received by filter
0 packets dropped by kernel
[root@data-1-2 tools]# sz /tools/0427.pcap 

[root@data-1-2 tools]# 

參數解釋

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置，用來過濾數據報的類型
(2)-i eth0 : 只抓經過接口eth0的包
(3)host 10.0.3.81  只抓取本機器和10.0.3.81機器之間的數據包
(4)-s 0 : 抓取數據包時默認抓取長度為68字節。加上-s 0 後可以抓到完整的數據包
(5)-w /tools/0427.pcap : 指定保存的路徑保存成pcap文件，方便用ethereal(即wireshark)分析

工作中最常用的是如下方式

tcpdump tcp -s 0 -i eth0  and  host 10.0.3.81 -w /tools/0427.pcap

tcpdump tcp -s 0 -i eth0  -w /tools/0427.pcap

更多抓包匹配參數參照如下

https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

tcpdump抓包常用參數和用法