1、tcpdump是linux系统中常用的抓包工具
常见的表达式如下:
tcpdump -i eth0 -s 0 -v -w syslog.pcap port 514
-i interface:指定tcpdump需要监听的接口。默认会抓取第一个网络接口
-s len:设置tcpdump的数据包抓取长度为len,如果不设置默认将会是65535字节。对于要抓取的数据包较大时,长度设置不够可能会产生断包(不是完整的),但是抓取len越长,包的处理时间越长,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失,所以在能抓取包的时候,抓取长度越小越好
-v:当分析和打印的时候,产生详细的输出。
-w:将抓包数据输出到文件中而不是标准输出。可以同时配合"-G time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
然后后边家 *.pcap 数据包 +端口
2、tcpreplay 重放pcap包,将数据包发送到对应的服务器上。
安装tcpreplay
yum install tcpreplay
然后将软件进行安装
rpm -ivh tcpreplay-4.3.2.-1.e17.x86_64.rpm --force --nodeps
---发送数据包的命令
tcpreplay -i eno2 -l 100 -M 2000 xxx.pcap
-i 指定服务器接口名称
-l 后面加发送数据包循环的次数
-M 是指发送数据包的速率