tcpdump:
1.用 tcpdump 截取本机 ip 10.2.1.2 10050 端口的包
tcpdump -i eth0 -nnetvv not port 22 and host 61.144.144.3 -w reset.log
tcpdump -nnv -i eth0 host 10.2.1.2 and port 10050
2.tcpdump长时间抓包
-W: 最多写入多少个抓包文件,编号从00到19,19号写满后,从00号文件重新开始循环写
-C: 每个文件的大小上限,以M为单位;-C 20 -W 50 就是说,最多写入50个pcap文件,每个文件大小最大20M(总共最多占磁盘1G),编号从00到19,循环写入
-s: 指定每个包抓多大,默认是68字节,我们可以自己指定它的大小,如果觉得68字节不足以分析的话
注意:
1)如果系统提示不允许在当前目录抓包,cd /tmp
2)可以在tcpdump命令中定义抓包规则,例如
[root@client tmp]# tcpdump -i eth0 tcp and port 22 and dst host 10.2.1.2 -nnv -s 1514 -C 20 -W 50 -w 61.pcap
-q 快速输出。只输出较少的协议信息。
执行命令后,查看是否有request和reply。如下:
[root@VLT ~]# tcpdump -i eth0 icmp
用一个例子来演示会更加清晰
