Debian系统下使用Sniffer工具(以tcpdump为例)保存抓包数据的方法
在Debian系统中,tcpdump是常用的命令行抓包工具,可通过APT包管理器安装:
sudo apt update
sudo apt install tcpdump
使用-w选项可将捕获的数据包保存到指定文件(推荐使用.pcap后缀,便于后续用Wireshark等工具分析)。例如,捕获eth0接口的所有流量并保存到capture.pcap文件:
sudo tcpdump -i eth0 -w capture.pcap
-i eth0:指定抓包的网络接口(可通过ip addr命令查看可用接口);-w capture.pcap:将数据包写入capture.pcap文件。可通过BPF(Berkeley Packet Filter)语法过滤特定流量,仅保存符合条件的数据包。例如:
sudo tcpdump -i eth0 port 80 -w http_traffic.pcap
192.168.1.100的流量):sudo tcpdump -i eth0 src host 192.168.1.100 -w specific_ip.pcap
sudo tcpdump -i eth0 udp -w udp_traffic.pcap
若需要将抓包文件保存到特定目录(如/tmp),可直接在文件名前添加路径:
sudo tcpdump -i eth0 -w /tmp/network_traffic.pcap
使用-r选项可读取之前保存的.pcap文件,例如:
sudo tcpdump -r capture.pcap
这会显示capture.pcap文件中的所有数据包信息,方便离线分析。
sudo命令;-C选项限制文件大小(如-C 100MB表示每100MB创建一个新文件),或使用-W选项限制文件数量;