tcpdump 的后续步骤包括:停止 tcpdump、保存数据为文本文件、libpcap 文件或流式传输、读取 pcap 文件(使用 tcpdump 或 wireshark)、分析数据(查看基本信息、过滤数据、获取统计信息)、使用 tcpdump 检查详细输出、使用 tshark 分析数据。
Linux tcpdump 后续步骤
目标:了解 tcpdump 后续处理数据的常用后续步骤。
步骤:
1. 停止 tcpdump
Ctrl + C
登录后复制
2. 保存数据
-
保存为文本文件:
tcpdump -w filename.pcap
登录后复制
保存为 libpcap 文件:
tcpdump -C filename.pcap
登录后复制
流式保存到文件:
tcpdump -w - > filename.pcap
登录后复制
3. 读取 pcap 文件
-
使用 tcpdump:
tcpdump -r filename.pcap
登录后复制
使用 Wireshark:
- 打开 Wireshark。
- 单击“文件”>“打开”。
- 选择要打开的 pcap 文件。
4. 分析数据
-
查看基本信息:
tcpdump -r filename.pcap -nn
登录后复制
过滤数据:
tcpdump -r filename.pcap 'filter expression'
登录后复制
统计信息:
tcpdump -r filename.pcap -c count
登录后复制
5. 疑难解答
-
使用 tcpdump -v 查看详细输出:
tcpdump -v -r filename.pcap
登录后复制
检查 libcap 过滤器语法:
tcpdump -F -r filename.pcap
登录后复制
使用 tshark 分析数据:
tshark -r filename.pcap
登录后复制
以上就是linux tcpdump后怎么办的详细内容,更多请关注叮当号网其它相关文章!
文章来自互联网,只做分享使用。发布者:周斌,转转请注明出处:https://www.dingdanghao.com/article/569407.html
