Ubuntu Sniffer如何保存抓包数据

在Ubuntu中，常用tcpdump和Wireshark（含tshark命令行工具）保存抓包数据，具体如下：

1. tcpdump

   • 安装：sudo apt update && sudo apt install tcpdump。
   • 抓包并保存：sudo tcpdump -i <接口名> -w <文件名>.pcap（如sudo tcpdump -i eth0 -w capture.pcap）。
   • 可选参数：-c <数量>限制抓包数量，-n禁用DNS解析。

2. Wireshark（图形界面）

   • 安装：sudo apt update && sudo apt install wireshark。
   • 抓包保存：启动后选择接口 → 点击“开始捕获” → 停止后选择“文件”→“保存为”（.pcap或.pcapng格式）。
   • 命令行工具tshark：sudo tshark -i <接口名> -w <文件名>.pcap。

注意：需用sudo获取权限，保存路径需有写入权限，且抓包内容可能涉及隐私，需遵守法律法规。