在linux中如何读取使用tcpdump命令抓取保存的tcpdump capture file类型的数据文件
Posted on 2023-04-26 22:21 520_1351 阅读(248) 评论(0) 编辑 收藏 举报笔者在之前的文章中,说明了如何在linux使用tcpdump命令进行抓包,以及将抓包结果保存到文件
具体操作,可以参考:https://www.cnblogs.com/5201351/p/17357444.html
如果是使用tcpdump 命令,-w xxxxxx.dump 这种方式保存的文件,我们可以通过file命令发现其文件类型
[root@localhost qq-5201351]# file xxxxxx.dump xxxxxx.dump: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144) [root@localhost qq-5201351]#
当然如果是直接>重定向方式保存的文件,则文件类型是ASCII text,因为是纯文本文件,因此都可以直接使用cat命令进行查看的
但实际中,专业一点的做法是使用-w的方式保存,那么如何查看-w方式保存的tcpdump capture file类型的数据文件呢
笔者使用最多的就是,同样也就使用tcpdump命令的-r选项,如下:
tcpdump -r xxxxxx.dump
tcpdump -vnn -r xxxxxx.dump
注意,使用选项时,-r 代表 Read packets from file,因此后面紧跟的就必须是一个文件,其他选项,要不就写在整段之前,或者整段之后
其中-n最多指定两个,-v最多可以指定三个,选项v的个数越多输出越是详细
另外,理论上linux中使用tcpdump命令在linux抓取的数据文件,也可以使用windows中的进行查看分析(建议将文件保存为.pcap格式,只是笔者未亲测)
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17357597.html
作者:一名卑微的IT民工
出处:https://www.cnblogs.com/5201351
本博客所有文章仅用于学习、研究和交流目的,欢迎非商业性质转载。
由于博主的水平不高,文章没有高度、深度和广度,只是凑字数,不足和错误之处在所难免,希望大家能够批评指出。
博主是利用读书、参考、引用、复制和粘贴等多种方式打造成自己的文章,请原谅博主成为一个卑微的IT民工!