tcpdump:
1.用 tcpdump 截取本机 ip 10.2.1.2 10050 端口的包
tcpdump -nnv -i eth0 host 10.2.1.2 and port 10050
2.tcpdump长时间抓包
-W: 最多写入多少个抓包文件,编号从00到19,19号写满后,从00号文件重新开始循环写
-C: 每个文件的大小上限,以M为单位;-C 20 -W 50 就是说,最多写入50个pcap文件,每个文件大小最大20M(总共最多占磁盘1G),编号从00到19,循环写入
-s: 指定每个包抓多大,默认是68字节,我们可以自己指定它的大小,如果觉得68字节不足以分析的话
注意:
1)如果系统提示不允许在当前目录抓包,cd /tmp
2)可以在tcpdump命令中定义抓包规则,例如
[root@client tmp]# tcpdump -i eth0 tcp and port 22 and dst host 10.2.1.2 -nnv -s 1514 -C 20 -W 50 -w 61.pcap
参考:
tcpdump长时间抓包 - CSDN博客
https://blog.csdn.net/yasi_xi/article/details/8749605
-q 快速输出。只输出较少的协议信息。