將
tcpdump抓到的封包轉為
wireshark可以讀的格式
$ sudo tcpdump -i {interface_name} -s 0 -w {file_name}
$ tcpdump --help
Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -M secret ] [ -r file ]
[ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
[ -y datalinktype ] [ -z command ] [ -Z user ]
[ expression ]
-a 將網路位址和廣播地址轉變成名稱
-d 將匹配的封包代碼以人能理解的格式輸出
-dd 將匹配的封包代碼以c語言的格式輸出
-ddd 將匹配的封包代碼以十進位的形式輸出
-e 在輸出行列印出資料連結層的header資訊
-f 將外部的Internet位址以二進位的形式列印
-l 使標準輸出變為緩衝行形式
-n 不把網路位址轉換成名稱
-t 在輸出的每一行不列印時間戳
-v 輸出稍微詳細的資訊例如在ip封包中可以包括ttl和服務類型的資訊
-vv 輸出詳細的資訊
-c 在收到指定的封包的數目後tcpdump就會停止
-F 從指定的文件中讀取運算式,忽略其他的運算式
-i 指定監聽的網路介面
-r 從指定的檔中讀取封包(這些封包一般通過-w選項產生)
-s 擷取frame的大小,0表示無限制
-w 直接將封包寫入檔中並不分析和列印出來
-T 將監聽到的封包直接解釋為指定的類型,常見的類型有rpc和snmp
沒有留言:
張貼留言