1、tcpdump是linux系統中常用的抓包工具
常見的表達式如下:
tcpdump -i eth0 -s 0 -v -w syslog.pcap port 514
-i interface:指定tcpdump需要監聽的接口。默認會抓取第一個網絡接口
-s len:設置tcpdump的數據包抓取長度爲len,如果不設置默認將會是65535字節。對於要抓取的數據包較大時,長度設置不夠可能會產生斷包(不是完整的),但是抓取len越長,包的處理時間越長,並且會減少tcpdump可緩存的數據包的數量,從而會導致數據包的丟失,所以在能抓取包的時候,抓取長度越小越好
-v:當分析和打印的時候,產生詳細的輸出。
-w:將抓包數據輸出到文件中而不是標準輸出。可以同時配合"-G time"選項使得輸出文件每time秒就自動切換到另一個文件。可通過"-r"選項載入這些文件以進行分析和打印。
然後後邊家 *.pcap 數據包 +端口
2、tcpreplay 重放pcap包,將數據包發送到對應的服務器上。
安裝tcpreplay
yum install tcpreplay
然後將軟件進行安裝
rpm -ivh tcpreplay-4.3.2.-1.e17.x86_64.rpm --force --nodeps
---發送數據包的命令
tcpreplay -i eno2 -l 100 -M 2000 xxx.pcap
-i 指定服務器接口名稱
-l 後面加發送數據包循環的次數
-M 是指發送數據包的速率