使用Wireshark查看tcpdump抓包数据
使用Wireshark查看tcpdump抓包数据
前段时间有台应用服务器与数据操作api之间,经常发生数据丢失的问题,运维同事查了好久也没有给出确定的答复, 到底问题在什么地方.
刚好有空, 就客串一下, 顺便熟悉下使用.
主要采用tcpdump来抓包, 然后使用wireshark的图形化界面来查看, 并尝试确定出现问题的地方, 以便对问题原因给出明确的结论.
要使用wireshark来查看tcpdump的抓包文件, 需要tcpdump抓包时使用原始格式, 而不能是解析过后的文本格式.
用到的命令如下:
tcpdump -i ens192 -w capture.cab src host 10.64.2.70
-i 指定网络设备名
-w 指定不解析, 并输出数据包至文件中
src host 指定来源机器ip
工具使用帮助
[root@localhost ~]# tcpdump –help
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips 26 Jan 2017
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -j tstamptype ] [ -M secret ] [ –number ]
[ -Q|-P in|out|inout ]
[ -r file ] [ -s snaplen ] [ –time-stamp-precision precision ]
[ –immediate-mode ] [ -T type ] [ –version ] [ -V file ]
[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
[ -Z user ] [ expression ]
