一、tcpdump

tcpdump 指令可列出经过指定网络界面的数据包文件头，可以将网络中传送的数据包的 “头” 完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供 and、or、not 等逻辑语句来帮助你摘取有用信息。由于它需要将网络接口设置为混杂模式，普通用户不能正常执行，但具备 root 权限的用户可以直接执行它来获取网络上的信息。

1.1 基本用法

• 捕获所有流量
  sudo tcpdump
• 捕获特定接口的流量
  sudo tcpdump -i eth0
• 将捕获的数据保存到文件
  sudo tcpdump -w 123.pcap
• 从文件中读取捕获的数据
  sudo tcpdump -r 123.pcap
• 按主机过滤
  sudo tcpdump host 192.168.1.1
• 按网络过滤
  sudo tcpdump net 192.168.1.0/24
• 按端口过滤
  sudo tcpdump port 80
• 按协议过滤
  sudo tcpdump tcp
sudo tcpdump udp
• 组合过滤条件
  sudo tcpdump 'tcp and port 80 and host 192.168.1.1'
• 显示时间戳
  sudo tcpdump -tttt
• 捕获 10 个数据包后停止
  sudo tcpdump -c 10

1.2 龙芯平台实例操作

tcpdump -i enp0s3f0 host www.baidu.com

①　报文的时间
②　网络协议IP
③　发送方的IP地址、端口号、域名
④　数据流向
⑤　接收方的IP地址、端口号、域名
⑥　数据包内容

抓取报文并保存：tcpdump -i enp0s3f0 -nn host www.baidu.com -w /tmp/123.txt 保存的123.txt文件可以用wireshark进行分析。

二、wireshark

wireshark具有图形化和命令行两种版本，可以对 tcpdump 抓的包进行分析，其主要功能就是分析数据包。
官方网站：https://www.wireshark.org

2.1 主要功能

1. 实时数据捕获：Wireshark能够捕获实时流量并对其进行分析。
2. 数据包解码：支持数百种网络协议，能够解码并显示各种协议的详细信息。
3. 过滤功能：可以根据特定条件筛选数据包。这包括捕获过滤器和显示过滤器，前者在数据包捕获之前应用，后者在数据包捕获之后应用。
4. 数据包重组：能够重组和分析分片的数据包，以查看完整的通信内容。
5. 统计和图表：提供多种统计和图表功能，帮助用户进行流量分析和趋势预测。

2.2 龙芯平台实例操作

安装软件：apt install wireshark

• 运行软件：wireshark

• 捕获网卡enp0s3f0信息

• tcpdump和wireshark 合用