博客园  :: 首页  :: 管理

笔者在之前的文章中,说明了如何在linux使用tcpdump命令进行抓包,以及将抓包结果保存到文件

具体操作,可以参考:https://www.cnblogs.com/5201351/p/17357444.html

如果是使用tcpdump 命令,-w xxxxxx.dump 这种方式保存的文件,我们可以通过file命令发现其文件类型

[root@localhost qq-5201351]# file xxxxxx.dump
xxxxxx.dump: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144)
[root@localhost qq-5201351]# 

当然如果是直接>重定向方式保存的文件,则文件类型是ASCII text,因为是纯文本文件,因此都可以直接使用cat命令进行查看的

但实际中,专业一点的做法是使用-w的方式保存,那么如何查看-w方式保存的tcpdump capture file类型的数据文件呢

笔者使用最多的就是,同样也就使用tcpdump命令的-r选项,如下:

tcpdump -r xxxxxx.dump

tcpdump -vnn -r xxxxxx.dump

注意,使用选项时,-r 代表 Read packets from file,因此后面紧跟的就必须是一个文件,其他选项,要不就写在整段之前,或者整段之后

其中-n最多指定两个,-v最多可以指定三个,选项v的个数越多输出越是详细

另外,理论上linux中使用tcpdump命令在linux抓取的数据文件,也可以使用windows中的进行查看分析(建议将文件保存为.pcap格式,只是笔者未亲测)

 

 

 

尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17357597.html