1.tcpdump
tcpdump -i lo -s0 -w /user/lo.pcap
tcpdump
: 启动 tcpdump 工具,用于捕获网络数据包。-i lo
: 指定监听的网络接口为lo
,这里的lo
是本地回环接口(loopback interface),用于本机内部通信。-s0
: 设置抓取数据包时的抓取长度为 0,表示捕获整个数据包的内容。-w /user/lo.pcap
: 将捕获的数据包保存到/user/lo.pcap
文件中,pcap
是一种常用的网络数据包捕获文件格式,可以后续使用 Wireshark 或其他工具进行分析。
综合起来,这条命令的作用是在本机的本地回环接口 (lo
) 上捕获所有的网络数据包,并将它们保存到 /root/io.pcap
文件中,以便后续分析或审核网络通信。
2.sshdump
- 通过
wireshark sshdump
组件支持ssh
远程登录linux
主机后进行实时在线抓包
- 此组件默认不安装,需要在安装过程中对于
Tools
组件中sshdump
进行特殊勾选sshdump
默认会过滤掉非相关报文 ,比较智能
下载新的Wireshark*.exe
程序安装wireshark,在Tools
组件选择中sshdump
特别勾选
成功安装sshdump后的界面
主操作界面上会出现SSH remote capture
的选择项,见图: