tcpdump抓包

tcpdump是linux环境下抓包工具，可以对对应网络接口流量进行抓取或者过滤抓取，可以打印输出到屏幕，也可以保存到指定文件。指定的文件可以用wireshark来打开查看。可以快速查看符合网络接口符合某一条件的抓包，方便我们确定网络问题。

常用参数如下

- i (interface) 指定要监听的网络接口，如果不指定，tcpdump将默认监听第一块网卡。

- s (snaplen) 指定从每个数据包中读取的最开始字节数，默认值为68字节。

- c (count) 指定要抓取的数据包数量，达到该数量后tcpdump将停止捕获。

- w (write) 将抓包数据保存到文件中。

- r (read) 从文件中读取数据包，通常这些数据包是由-w参数产生的。

- n (no-resolve) 不进行域名解析，直接显示IP地址。

- t (timestamp) 显示时间戳，通常与-tt或-ttt结合使用，以显示更详细的时间信息。

- X (hex dump) 显示数据包的十六进制格式。

- v (verbose) 输出更详细的信息，如IP报文中的TTL和服务类型。

- F (file) 从指定的文件中读取表达式，忽略命令行中的表达式。

- e (ethertype) 输出数据链路层的头部信息，包括源MAC和目的MAC。

- p (promisc) 将网卡设置为混杂模式，用于捕获所有通过的网络数据包。

其中eth0为网卡，2049为监控端口

tcpdump -i eth0 port 2049

-w mycap.pcap为将输出写入到mycap.pcap文件

tcpdump -s 0 port 2049 -i eth0 -w mycap.pcap

然后使用wireshark打开mycap.pcap查看

可以看到如下信息