tcpdump抓包

前面文章咱们介绍了wireshark图形界面抓取网络数据包的方法，这种方法主要用在Windows系统。实际生产环境中使用最多的抓取网络数据包是在linux系统上进行的，这篇文章主要介绍linux系统上最长使用的tcpdump抓包方法，抓取的数据包可直接使用wireshark或者tshark工具进行后续分析，十分方便。
另外，tcpdump一般是各linux发型版本预装的module，无需再进行安装。

一.tcpdump抓包常用参数

# man tcpdump //有参数及使用方法详细描述

1. 描述
   tcpdump抓包默认匹配抓包条件直接输出到屏幕，默认只输出抓取每条数据包简单信息，例如IP，port，消息提示信息。加“-w”参数，后跟文件名，将每条抓取到的数据包的详细信息写入文件，供后续离线分析。
   当然tcpdump工具也可读取数据包文件，“-r”参数后跟文件名。“-V”参数后跟文件名列表文件，一次读取多个文件。不过一般我们很少使用tcpdump去读取抓包文件，因为tcpdump读取显示信息有限。
2. 重要参数介绍

-D 显示可抓取的接口，可在此找寻你预抓取的接口名字
1

-i 跟接口名字，对跟定接口进行抓包