第五章 九析帶你輕鬆完爆 tcpdump

本系列文章:

第一章：九析帶你玩轉 linux - 內核升級篇

第二章：九析帶你玩轉 linux - vagrant 安裝篇

第三章：九析帶你玩轉 linux - 殭屍進程（zombie）

第四章：九析帶你玩轉 linux - 自建 DNS

第五章：九析帶你玩轉 linux - tcpdump

目錄

1 前言

2 使用

---

1 前言

        tcpdump 是一款命令行抓包工具，廣泛適用於 linux、unix、windows 操做系統中。tcpdump 工具自己依賴於庫文件去獲取網卡流量信息，好比在 windows 下就是 winpcap，在 linux 下就是 libpcap 等等。其中 pcap 就是 package capture 的縮寫。

---

2 使用

        直接使用以下命令查看流量信息：

tcpdump

        命令執行會會抓取經過該主機的全部網絡流量。每一行表示一條流量記錄，好比：

18:23:11.591431 ARP, Request who-has 192.168.31.100 tell 192.168.31.85, length 28

        這行表示一個數據包是在什麼時間發生的，屬於什麼協議（ARP），協議內容是網絡上一臺主機廣播尋找 IP 爲 192.168.31.100 的主機。

2.1 抓取指定數量數據包

        使用 -c(count)  抓取指定數量的數據包:

tcpdump -c 3

2.2 保存抓包記錄

        使用 -w(write) 保存抓包記錄：

tcpdump -c 6 -w tcpdump.out

2.3 讀取抓包記錄

        使用 -r(read) 從指定文件讀取抓包記錄：

tcpdump -r tcpdump.out

2.4 查詢當前網卡

        使用 -D 列出宿主機全部網卡信息：

tcpdump -D

2.5 查看指定網絡流量數據

        有時咱們只想查看經過指定網卡的網絡流量數據，能夠使用 -i(interface)  參數輕鬆完爆。好比我想查看環回網卡（lo，也就是 127.x.x.x)  的流量信息，就能夠直接使用以下命令：

tcpdump -i lo0

        再打開一個命令行終端：

ping 127.0.0.1

        再回到運行 tcpdump 命令行終端中，能夠看到已經捕捉並顯示出流量信息數據。

        自此，輕鬆完爆 tcpdump。