在Linux系统中,使用tcpdump抓包非常便捷,但直接分析较为繁琐,通常会将抓取的数据包导出到Windows平台,借助Wireshark等图形化工具进行更高效、直观的分析,提升排查效率。
1、 使用tcpdump -w指定文件保存抓包数据,运行一段时间后按CTRL+C即可停止抓包并保存文件。
2、 指定抓包网络端口时,可使用tcpdump -i 端口名称,若不指定则默认仅捕获第一个网络接口的数据。
3、 使用tcpdump保存到文件虽可行,但生成的抓包文件在传输至Windows后,可能无法被Wireshark正常读取或打开。
4、 在Linux中使用sz命令可将抓包文件传输至Windows主机,操作格式为:sz 文件名。
5、 通过sz传输文件速度较慢,大体积抓包文件建议采用SFTP或FTP模式进行下载。
6、 下载完成后,将文件后缀改为.cap,即可用Wireshark直接打开进行分析。
