上一篇文章中,我們介紹了tcpdump如何抓包。
tcpdump是命令行下便捷的抓包和分析工具,但使用方式不夠友好,
wireshark是帶圖形化界面的抓包和分析工具,操作簡便,但需要主機有顯示器。
所以,在很多場景下,例如,生產環境服務器,可以使用tcpdump抓包保存到文件,然后再由wireshark進行分析,這樣可以很好的發揮兩者的優勢。
本文介紹如何使用tcpdump抓包到文件,再由wireshark進行分析。
1. tcpdump抓包保存到文件
tcp 選項-w filename,將抓包結果保存到指定文件中。
例如,我們使用命令:
$ tcpdump -i lo0 port 8080 -n -vvv -X -w pkt_outfile
在網絡接口lo0上抓取端口8080上的數據包,並將其保存到文件pkt_outfile。
2.wireshark分析
2.1 下載和安裝
下載后,安裝。
2.2 分析數據包
打開wireshark, 打開剛才保存數據包的文件pkt_outfile,wireshark自動分析,如下圖所示。
可以點擊每個報文,查看每個協議層的分析結果,從數據鏈路層到傳輸層,非常詳細。