linux 下抓包命令 tcpdump tcpflow

tcpflow实际上也是一个抓包工具，这个抓包工具与tcpdump不同的是它是以流为单位显示数据内容，而cpdump以包为单位显示数据。我们平常会经常分析HTTP数据，用tcpflow会更便捷，且tcpflow看起来会更加直观些。

#截取本机（192.168.31.147）和主机114.114.114.114之间的数据
tcpdump -n -i eth0 host 192.168.31.147 and 114.114.114.114
#截取全部进入服务器的数据可以使用以下的格式
tcpdump -n -i eth0 dst 192.168.31.147
#服务器有多个IP 可以使用参数
tcpdump -n -i eth0 dst 192.168.31.147  or  192.168.31.157
#从本机出去的数据包
tcpdump -n -i eth0 src 192.168.31.147 or 192.168.31.157

-C
在将一个原始数据包写入一个保存文件之前，请检查该文件是否大于 file_size ，如果是，关闭当前的保存文件并打开一个新文件。第一个保存文件后的保存文件将具有用-w 标志指定的名称 ，后面跟着一个数字，从1开始并继续向上。file_size的单位 是数百万字节（1,000,000字节，而不是1,048,576字节）。

-w
将原始数据包写入 文件， 而不是解析并打印出来。他们以后可以用-r选项打印。如果文件 是“ – ”，则使用标准输出 。有关文件格式

-W
与-C 选项一起使用时 ，这会将创建的文件数量限制为指定的数字，并从头开始覆盖文件，从而创建“旋转”缓冲区。另外，它将命名带有足够前导0的文件来支持最大数量的文件，使它们能够正确排序。
与-G 选项一起使用时 ，这将限制创建的旋转转储文件的数量，在达到限制时以状态0退出。如果与-C一起使用 ，则行为将导致每个时间片的循环文件。