一同事找来，说用tcpdump在一台linux服务器上抓包写文件，文件大小为0，不知道是什么原因造成，让协助解决。

   自己登陆服务器试了一下，发现问题确实如此

不用-w，让打印在平面上，发现正常

 以为权限不够，发现提示符是#模式，在root登陆模式下，排除这个问题。

不知道原因，百度有人说是磁盘满了， 所以写失败，用df  -h查一下

改写到/dev目录下面，发现成功

 ok，问题解决

另一问题，抓包文件都是24字节的文件头，打开什么内容都没有？

排除思路， 一般原因是可能抓错网卡，可以用-i  any 可以不写入文件，进行预过滤，看回包源mac地址，再根据源mac和ip addr确定网卡名称，用tcpdump  -D核对-i后面的数字或名称。

 

如上图，先确定源mac，再根据源mac确定确定网卡名称

 再根据tcpdump  -D确定网卡编号

 

修正后tcpdump  -i 3      -nne  host 192.168.212.4  -w  /tmp/wj05.pcap 

 

 

  错在把ip addr显示的网卡编号当成tcpdump里-i 的数字编号，没抓对对应网卡端口