一、基本概念
tcpdump命令抓取的是OSI七层模型中“数据链路层”的帧。
二、常用用法
一般用于两种情形,分别是:粗略分析网络流量和详细分析网络流量。
2.1、粗略分析网络流量
tcpdump命令在抓取“数据链路层”的帧后,会进行解析,得到可读性较好的展示形式。但是由于不是原始的“帧”数据,因而只能进行粗略的分析。
具体使用形式为:tcpdump -i 网卡名 expression(关于expression见链接,对于expression,推荐采用单引号包围起来的方式)
2.2、详细分析网络流量
可以将“tcpdump”命令仅作为捕获“数据链路层”的帧的工具,将原始的帧数据保存到文件中,然后传给Wireshark进行分析,从而达到详细分析网络流量的目的。tcpdump命令保存原始帧数据到文件时,使用libpcap库,保存得到的文件符合PCAP文件规范,而Wireshark工具依赖libpcap库进行输入文件的解析,因此Wireshark工具可以准确识别tcpdump保存的文件。
具体使用形式为:tcpdump -i 网卡名 -w 保存文件路径 expression(关于expression见链接,对于expression,推荐采用单引号包围起来的方式)
另外:
-c选项:表示当捕获c个数据帧后自动停止捕获
三、一些例子
一些例子见链接。
参考文献
[1]http://www.kroosec.com/2012/10/a-look-at-pcap-file-format.html
[2]https://en.wikipedia.org/wiki/Tcpdump
[3]https://wiki.wireshark.org/libpcap
[4]https://en.wikipedia.org/wiki/Wireshark
[5]man tcpdump
