linux tcpdump后怎么辦

tcpdump 的后續步驟包括：停止 tcpdump、保存數據為文本文件、libpcap 文件或流式傳輸、讀取 pcap 文件（使用 tcpdump 或 wireshark）、分析數據（查看基本信息、過濾數據、獲取統計信息）、使用 tcpdump 檢查詳細輸出、使用 tshark 分析數據。

linux tcpdump 后續步驟

目標：了解 tcpdump 后續處理數據的常用后續步驟。

步驟：

1. 停止 tcpdump

Ctrl + C

2. 保存數據

• 保存為文本文件：

  tcpdump -w filename.pcap

• 保存為 libpcap 文件：

  tcpdump -C filename.pcap

• 流式保存到文件：

  tcpdump -w - > filename.pcap

3. 讀取 pcap 文件

• 使用 tcpdump：

  tcpdump -r filename.pcap

• 使用 Wireshark：

  • 打開 Wireshark。
  • 單擊“文件”>“打開”。
  • 選擇要打開的 pcap 文件。

4. 分析數據

• 查看基本信息：

  tcpdump -r filename.pcap -nn

• 過濾數據：

  tcpdump -r filename.pcap 'filter expression'

• 統計信息：

  tcpdump -r filename.pcap -c count

5. 疑難解答

• 使用 tcpdump -v 查看詳細輸出：

  tcpdump -v -r filename.pcap

• 檢查 libcap 過濾器語法：

  tcpdump -F -r filename.pcap

• 使用 tshark 分析數據：

  tshark -r filename.pcap