第五章 九析带你轻松完爆 tcpdump

本系列文章:

第一章：九析带你玩转 linux - 内核升级篇

第二章：九析带你玩转 linux - vagrant 安装篇

第三章：九析带你玩转 linux - 僵尸进程（zombie）

第四章：九析带你玩转 linux - 自建 DNS

第五章：九析带你玩转 linux - tcpdump

目录

1 前言

2 使用

---

1 前言

        tcpdump 是一款命令行抓包工具，广泛适用于 linux、unix、windows 操做系统中。tcpdump 工具自己依赖于库文件去获取网卡流量信息，好比在 windows 下就是 winpcap，在 linux 下就是 libpcap 等等。其中 pcap 就是 package capture 的缩写。

---

2 使用

        直接使用以下命令查看流量信息：

tcpdump

        命令执行会会抓取经过该主机的全部网络流量。每一行表示一条流量记录，好比：

18:23:11.591431 ARP, Request who-has 192.168.31.100 tell 192.168.31.85, length 28

        这行表示一个数据包是在什么时间发生的，属于什么协议（ARP），协议内容是网络上一台主机广播寻找 IP 为 192.168.31.100 的主机。

2.1 抓取指定数量数据包

        使用 -c(count)  抓取指定数量的数据包:

tcpdump -c 3

2.2 保存抓包记录

        使用 -w(write) 保存抓包记录：

tcpdump -c 6 -w tcpdump.out

2.3 读取抓包记录

        使用 -r(read) 从指定文件读取抓包记录：

tcpdump -r tcpdump.out

2.4 查询当前网卡

        使用 -D 列出宿主机全部网卡信息：

tcpdump -D

2.5 查看指定网络流量数据

        有时咱们只想查看经过指定网卡的网络流量数据，能够使用 -i(interface)  参数轻松完爆。好比我想查看环回网卡（lo，也就是 127.x.x.x)  的流量信息，就能够直接使用以下命令：

tcpdump -i lo0

        再打开一个命令行终端：

ping 127.0.0.1

        再回到运行 tcpdump 命令行终端中，能够看到已经捕捉并显示出流量信息数据。

        自此，轻松完爆 tcpdump。