前言
tcpdump提供了一系列命令,用于抓取网络层的数据,进行分析和问题定位。由于在linux环境下没有合适的图形化界面软件进行数据的分析,
一般采用tcpdump抓取网络层数据,然后将数据文件导入Wireshark(一个网络数据分析工具)进行分析。
安装过程
#步骤1:下载并安装libpcap-1.5.3.tar.gz依赖包
wget http://www.tcpdump.org/release/libpcap-1.5.3.tar.gz
tar -zxvf libpcap-1.5.3.tar.gz
cd libpcap-1.5.3
./configure
make & make install
#步骤2:下载并安装tcpdump-4.5.1.tar.gz包
wget http://www.tcpdump.org/release/tcpdump-4.5.1.tar.gz
tar -zxvf tcpdump-4.5.1.tar.gz
cd tcpdump-4.5.1
./configure
make & make install
安装注意事项:
如果已安装的gcc编译器版本过低,而tcpdump和libpcap版本过高,在make & make install时,会出现未定义的方法错误等; tcpdump和libpcap最好是按官方发布的一致版本;
使用示例
#使用ifconfig命令,查看网卡接口个数及名称
#使用tcpdump命令抓指定网卡接口的数据流
tcpdump tcp -i eth1 -c 200 -w tcpdump.cap
注:抓取eth1网卡接口 tcp协议 200个tcp报文 并将抓取的报文写入到tcpdump.cap文件,便于使用wireshark进行离线分析;如果网卡接口eth1抓取不到报文,可能机器的流量走的是网卡接口eth0,自己多尝试一下即可试出来;
参考文档
官放网站:http://www.tcpdump.org/
参考链接:http://blog.itechol.com/space-33-do-blog-id-5780.html