linux下pcap抓包命令

linux下pcap抓包命令详细介绍

在 Linux 系统中，tcpdump和Wireshark（命令行版本为tshark）是常用的抓包工具，下面为你介绍它们的基本使用命令：

1. tcpdump

tcpdump是一款强大的命令行抓包工具，能抓取网络数据包并显示其详细信息。

• 抓取所有接口的数据包

bash

tcpdump  any

这里的-i用于指定网络接口，any代表所有可用接口。

• 抓取指定接口（如 eth0）的数据包

bash

tcpdump  eth0

• 抓取指定数量的数据包

bash

tcpdump  eth0  

-c参数用来设定要抓取的数据包数量，此例中为 10 个。

• 将抓取的数据包保存到文件

bash

tcpdump  eth0  capture.pcap

-w参数可将抓取的数据包保存到capture.pcap文件。

• 读取已保存的 pcap 文件

bash

tcpdump  capture.pcap

-r参数用于读取指定的 pcap 文件。

2. tshark

tshark是 Wireshark 的命令行版本，功能与 Wireshark 类似。

• 抓取所有接口的数据包

bash

tshark  any

• 抓取指定接口（如 eth0）的数据包

bash

tshark  eth0

• 抓取指定数量的数据包

bash

tshark  eth0  

• 将抓取的数据包保存到文件

bash

tshark  eth0  capture.pcap

912tshark eth0 capture.pcap

• 读取已保存的 pcap 文件

bash

tshark  capture.pcap

912tshark capture.pcap

这些命令能满足你在 Linux 下进行基本抓包的需求。要是你想进一步过滤或分析数据包，还可以使用更复杂的过滤规则。