Centos6.5下使用tcpdump抓包并用wireshark分析

mayiwen123456

安装首先我们要安装tcpdump，必须的库：
yum install flex  
yum install bison  
yum install gcc

另外tcpdump是基于libpcap，这个在yum找不到，我们到tcpdump的官网（http://www.tcpdump.org/#latest-release）可以下载libpcap和tcpdump 我这里使用的tcpdump-4.9.2 .tar.gz和libpcap-1.8.1 .tar.gz 。 首先解压libpcap，然后进入目录配置安装
tar -zxf libpcap-1.8.1 .tar.gz
cd libpcap-1.8.1
./configuremake         
make
make install

然后解压tcpdump，然后进入目录配置安装

tar -zxf tcpdump-4.9.2 .tar.gz

cd tcpdump-4.9.2
./configuremake      
make
make install

一切顺利的话，就可以使用tcpdump进行抓包了.

tcpdump的过滤规则是使用bpf语法
参考http://blog.csdn.net/jk110333/article/details/8675547
我们简单地抓取可以使用（注意要使用root权限启动tcpdump）

tcpdump -i eth0 port 80 -c 3 -t
(1) -i eth0 : 只抓经过接口eth0的包
(1) port 80 : 抓取数据包只抓取80端口的
(3) -c 3 : 只抓取3个数据包
(4) -t : 不显示时间戳

不过这样比较麻烦，输出到控制台对于数据包多的时候显得麻烦，我们把他输出到文件，借助wireshark帮我们分析数据包，首先要安装wireshark，直接通过yum安装。

yum install wireshark（核心，可以用命令tshark）
yum install wireshark-gnome（界面，可以用命令wireshark）
安装后在root权限下通过wireshark命令启动图形界面(没用root用户，启动需要输入root密码)

有人在CentOS 6.5中会出现一个错误wireshark: symbol lookup error: wireshark: undefined symbol: gtk_combo_box_text_new_with_entry
这个错误是gtk2的一个bug，我们要更新下gtk2：
yum update gtk2
不过，我做的时候没出现，就到收集一下问题吧。

tcpdump抓包并且保存到文件。可以在tcpdump命令后加-w指定输出的文件，我们
mkdir /tmp/tcpdump

tcpdump -i eth0  -w /tmp/tcpdump/tcpdump.pcap

抓包后我们打开wireshark（root权限），点击File打开刚才的抓包文件
就可以分析包了，这里就不具体分析了。