笔者在之前的文章中,说明了如何在linux使用tcpdump命令进行抓包,以及将抓包结果保存到文件
具体操作,可以参考:https://www.cnblogs.com/5201351/p/17357444.html
如果是使用tcpdump 命令,-w xxxxxx.dump 这种方式保存的文件,我们可以通过file命令发现其文件类型
[root@localhost qq-5201351]# file xxxxxx.dump xxxxxx.dump: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 262144) [root@localhost qq-5201351]#
当然如果是直接>重定向方式保存的文件,则文件类型是ASCII text,因为是纯文本文件,因此都可以直接使用cat命令进行查看的
但实际中,专业一点的做法是使用-w的方式保存,那么如何查看-w方式保存的tcpdump capture file类型的数据文件呢
笔者使用最多的就是,同样也就使用tcpdump命令的-r选项,如下:
tcpdump -r xxxxxx.dump
tcpdump -vnn -r xxxxxx.dump
注意,使用选项时,-r 代表 Read packets from file,因此后面紧跟的就必须是一个文件,其他选项,要不就写在整段之前,或者整段之后
另外,理论上linux中使用tcpdump命令在linux抓取的数据文件,也可以使用windows中的进行查看分析(建议将文件保存为.pcap格式,只是笔者未亲测)
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17357597.html
标签:capture,file,dump,xxxxxx,linux,tcpdump From: https://www.cnblogs.com/5201351/p/17357597.html