首先用下命令查看自己的网络接口:
ip addr
出现多个网络接口的时候,用你要抓包的ip地址查找。此处用10.105.218.233抓包,故选用eth0。
抓取本接口下所有的流量,使用本命令抓包的时候,抓取的流量可能非常多,抓包文件会非常大:
tcpdump tcp -i eth0 -w eth0.pcap
抓取本接口下,特定ip之间通信的流量,有效减少干扰的数据包。
tcpdump -i eth0 host 10.105.218.233 and 10.105.1.136 -w eth0.pcap
抓取结束后,使用ctrl+c停止。
然后把eth0.pcap文件下载到本地,使用wireshark打开抓包文件。
右键某个关心的报文,点击follow-tcp stream可以查看完整的通信过程。
用颜色来区分数据包发送方向:
