上一篇
Linux抓包结果怎么保存
使用tcpdump命令抓包并保存:执行
tcpdump -i -w 即可将捕获的网络数据包保存到指定的pcap文件中。
核心工具:tcpdump(终端环境)
基础保存命令
sudo tcpdump -i eth0 -w capture.pcap
-i eth0:指定网卡(用ip link查看可用网卡)-w capture.pcap:保存为PCAP文件(默认二进制格式)- 按
Ctrl+C:停止抓包并保存文件
高级参数组合
sudo tcpdump -i any -G 600 -W 5 -C 100 -w /var/capture/%Y-%m-%d_%H:%M:%S.pcap
-i any:监听所有网卡-G 600:每600秒(10分钟)分割文件-W 5:最多保留5个文件(循环覆盖)-C 100:单文件最大100MB/var/capture/:推荐存储目录(需提前创建)
过滤特定流量
sudo tcpdump -i eth0 -w dns.pcap port 53 # 只抓DNS流量 sudo tcpdump -i eth0 -w http.pcap 'tcp port 80' # 抓HTTP流量
图形化工具:Wireshark(GUI环境)
- 启动Wireshark:
sudo wireshark - 选择网卡 → 点击蓝色鲨鱼图标开始抓包
- 停止后通过
File > Save As保存为PCAP/PCAPNG格式 - 批量导出:
tshark -r input.pcap -w output.pcap(命令行版)
文件管理技巧
-
自动分割文件
sudo tcpdump -i eth0 -w capture.pcap -C 50 # 每50MB分割
- 生成文件:
capture.pcap1,capture.pcap2, …
- 生成文件:
-
按时间分割
sudo tcpdump -i eth0 -w capture.pcap -G 3600 # 每小时分割
-
压缩存储
sudo tcpdump -i eth0 -w - | gzip > capture.pcap.gz
文件分析建议
-
常用分析工具:
- Wireshark(图形化分析)
tshark -r capture.pcap(命令行分析)capinfos capture.pcap(查看文件统计信息)
-
安全注意事项:
- 敏感数据:抓包可能包含密码、密钥,需加密存储(如
gpg -c capture.pcap) - 存储权限:避免使用
/tmp目录,推荐/var/capture/并设置权限:sudo mkdir /var/capture && sudo chmod 700 /var/capture
- 敏感数据:抓包可能包含密码、密钥,需加密存储(如
常见问题解决
-
权限不足:
使用sudo或添加用户到wireshark组:sudo usermod -aG wireshark $USER -
磁盘空间不足:
限制文件大小(-C参数)或启用循环写入(-W参数)
-
过滤大量噪音:
添加BPF过滤器,如tcpdump -i eth0 -w filtered.pcap not arp and port not 22
- 基础流程:选择工具 → 设置过滤 → 指定存储 → 启动抓包
- 最佳实践:
- 生产环境用
-C/-G分割文件 - 敏感数据加密存储
- 结合
tshark进行自动化分析
- 生产环境用
引用说明参考tcpdump官方手册(www.tcpdump.org)、Wireshark用户指南(wiki.wireshark.org)及Linux网络管理最佳实践,操作需遵守当地法律法规,禁止非规抓包。
