在Linux中,使用sniffer(如tcpdump或Wireshark)捕获的数据可以通过将捕获的数据包保存到文件中来保留。以下是如何使用tcpdump和Wireshark保存捕获数据的步骤:
使用tcpdump保存数据:
打开终端。
输入以下命令以开始捕获数据包并将其保存到文件中:
sudo tcpdump -i <interface> -w <output_file>
其中,<interface>是您要捕获数据包的网络接口(例如,eth0或wlan0),<output_file>是您要保存捕获数据的文件名(例如,capture.pcap)。
例如,要捕获eth0接口上的数据包并将其保存到名为capture.pcap的文件中,请输入:
sudo tcpdump -i eth0 -w capture.pcap
现在,您可以在<output_file>中找到捕获的数据包。
使用Wireshark保存数据:
打开Wireshark。
在主界面中,选择要捕获数据包的网络接口。
单击"开始"按钮以开始捕获数据包。
要停止捕获,请单击"停止"按钮。
要保存捕获的数据包,请转到"文件"菜单,然后选择"另存为"。在弹出的对话框中,输入文件名并选择适当的文件格式(例如,pcap或pcapng),然后单击"保存"。
现在,您可以在所选文件中找到捕获的数据包。