Linux环境中通常使用TCPDump工具进行抓包和分析,TCPDump工具是所有Linux发行版本预装的数据包抓取和分析工具。其常规的使用以及安装方法,请查阅链接内容。
本文侧重介绍tcpdump命令循环抓包的功能。
命令
tcpdump -i eth1 tcp and port 22 -C 20 -W 50 -w /tmp/cap.pcap该命令的含义为:抓取eth0的tcp报文,且端口为22的,最大抓取50个包,每个包20M,共占用1G的空间,抓取的文件保存到/tmp/cap.pcap下。对应的参数可以根据实际的协议端口进行调整,如果磁盘够大,可以调整-C 文件大小,-W 文件个数,进行使用。
