Linux tcpdump抓包实践(以http为例)

捕获HTTP流量并保存为wireshark格式文件(pcap格式文件)

1. ‌基本命令 ‌：

   使用tcpdump捕获所有流量的基本命令如下：

   sudo tcpdump -i any -w output.pcap port 80 or port 443

   这里，-i any表示监听所有网络接口，-w output.pcap指定输出文件名为output.pcap，port 80 or port 443表示只捕获到80端口（HTTP）和443端口（HTTPS）的数据包。

2. ‌捕获特定方向的流量 ‌：

   若只想捕获进入或离开特定IP地址的流量，可以指定源或目标IP地址，例如：

   sudo tcpdump -i any -w output.pcap src host 192.168.1.100 or dst host 192.168.1.100 and (port 80 or port 443)

   这个命令将捕获从IP地址192.168.1.100发往任何地方或从任何地方到192.168.1.100的HTTP和HTTPS流量。

3. 使用wireshark查看数据包