1.tcpdump

tcpdump -i lo -s0 -w /user/lo.pcap 

• tcpdump: 启动 tcpdump 工具，用于捕获网络数据包。
• -i lo: 指定监听的网络接口为 lo，这里的 lo 是本地回环接口（loopback interface），用于本机内部通信。
• -s0: 设置抓取数据包时的抓取长度为 0，表示捕获整个数据包的内容。
• -w /user/lo.pcap: 将捕获的数据包保存到 /user/lo.pcap 文件中，pcap 是一种常用的网络数据包捕获文件格式，可以后续使用 Wireshark 或其他工具进行分析。

综合起来，这条命令的作用是在本机的本地回环接口 (lo) 上捕获所有的网络数据包，并将它们保存到 /root/io.pcap 文件中，以便后续分析或审核网络通信。

2.sshdump

• 通过wireshark sshdump组件支持ssh远程登录linux主机后进行实时在线抓包

• 此组件默认不安装，需要在安装过程中对于Tools组件中sshdump进行特殊勾选
• sshdump默认会过滤掉非相关报文 ，比较智能

下载新的Wireshark*.exe程序安装wireshark，在Tools组件选择中sshdump特别勾选 

成功安装sshdump后的界面

主操作界面上会出现SSH remote capture的选择项，见图：