tcpdump 的后续步骤包括:停止 tcpdump、保存数据为文本文件、libpcap 文件或流式传输、读取 pcap 文件(使用 tcpdump 或 wireshark)、分析数据(查看基本信息、过滤数据、获取统计信息)、使用 tcpdump 检查详细输出、使用 tshark 分析数据。
Linux tcpdump 后续步骤
目标:了解 tcpdump 后续处理数据的常用后续步骤。
步骤:
1. 停止 tcpdump
<code>Ctrl + C</code>
2. 保存数据
-
保存为文本文件:
<code>tcpdump -w filename.pcap</code>
-
保存为 libpcap 文件:
<code>tcpdump -C filename.pcap</code>
-
流式保存到文件:
<code>tcpdump -w - > filename.pcap</code>
3. 读取 pcap 文件
-
使用 tcpdump:
<code>tcpdump -r filename.pcap</code>
-
使用 Wireshark:
- 打开 Wireshark。
- 单击“文件”>“打开”。
- 选择要打开的 pcap 文件。
4. 分析数据
-
查看基本信息:
<code>tcpdump -r filename.pcap -nn</code>
-
过滤数据:
<code>tcpdump -r filename.pcap 'filter expression'</code>
-
统计信息:
<code>tcpdump -r filename.pcap -c count</code>
5. 疑难解答
-
使用 tcpdump -v 查看详细输出:
<code>tcpdump -v -r filename.pcap</code>
-
检查 libcap 过滤器语法:
<code>tcpdump -F -r filename.pcap</code>
-
使用 tshark 分析数据:
<code>tshark -r filename.pcap</code>
