tcpdump 和 wireshark 的实用例子

tcpdump:

1.用 tcpdump 截取本机 ip 10.2.1.2 10050 端口的包

tcpdump -i eth0  -nnetvv not  port  22 and host 61.144.144.3 -w reset.log

tcpdump -nnv  -i eth0 host 10.2.1.2 and port 10050

2.tcpdump长时间抓包

 

-W: 最多写入多少个抓包文件，编号从00到19,19号写满后，从00号文件重新开始循环写

 

-C: 每个文件的大小上限，以M为单位；-C 20 -W 50 就是说，最多写入50个pcap文件，每个文件大小最大20M（总共最多占磁盘1G），编号从00到19，循环写入

 

-s: 指定每个包抓多大，默认是68字节，我们可以自己指定它的大小，如果觉得68字节不足以分析的话

 

 

 

注意：

 

1）如果系统提示不允许在当前目录抓包，cd /tmp

 

2）可以在tcpdump命令中定义抓包规则，例如

 

[root@client tmp]# tcpdump -i eth0 tcp and port 22 and dst  host 10.2.1.2 -nnv -s 1514 -C 20 -W 50 -w 61.pcap

参考：

tcpdump长时间抓包 - CSDN博客
https://blog.csdn.net/yasi_xi/article/details/8749605

 

-q 快速输出。只输出较少的协议信息。 

执行命令后，查看是否有request和reply。如下：

1 2 3 4 5 6 7

[root@VLT ~]# tcpdump -i eth0 icmp

https://blog.csdn.net/weed_hz/article/details/72675710  good