1、用tcpdump -w 文件来保存抓包文件,抓到一定时间后,可以用CTRL +C退出抓包。
2、如果要指定抓包的网络端口,可使用tcpdump -i 网络端口名来指定,否则只抓第一个网口的数据。
3、用tcpdump >文件名虽然也可以保存抓包文件,但这个文件传到windows机器后,可能用wireshark无法打开。
4、然后可以在linux上用sz命令,将抓包文件传回到windows的主机,格式为sz 抓包文件名
5、sz的方式传文件会相对比较慢,如果过大的抓包文件可以考虑用SFTP或FTP模式下载。
6、下载完成后,将抓包文件的后缀改为cap结尾后,就可以用wireshark直接打开分析了。
