在linux中如何读取使用tcpdump命令抓取保存的tcpdump capture file类型的数据文件

笔者在之前的文章中，说明了如何在linux使用tcpdump命令进行抓包，以及将抓包结果保存到文件

具体操作，可以参考：https://www.cnblogs.com/5201351/p/17357444.html

如果是使用tcpdump 命令，-w xxxxxx.dump 这种方式保存的文件，我们可以通过file命令发现其文件类型

[root@localhost qq-5201351]# file xxxxxx.dump
xxxxxx.dump: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)
[root@localhost qq-5201351]# 

当然如果是直接>重定向方式保存的文件，则文件类型是ASCII text，因为是纯文本文件，因此都可以直接使用cat命令进行查看的

但实际中，专业一点的做法是使用-w的方式保存，那么如何查看-w方式保存的tcpdump capture file类型的数据文件呢

笔者使用最多的就是，同样也就使用tcpdump命令的-r选项，如下：

tcpdump -r xxxxxx.dump

tcpdump -vnn -r xxxxxx.dump

注意，使用选项时，-r 代表 Read packets from file，因此后面紧跟的就必须是一个文件，其他选项，要不就写在整段之前，或者整段之后

其中-n最多指定两个，-v最多可以指定三个，选项v的个数越多输出越是详细

另外，理论上linux中使用tcpdump命令在linux抓取的数据文件，也可以使用windows中的进行查看分析（建议将文件保存为.pcap格式，只是笔者未亲测）

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17357597.html