使用 tcpdump 擷取時如何查看數據包

使用 tcpdump 擷取流量時如何查看流量。

當我使用 -w 時，它不會在擷取期間顯示數據包。

sudo tcpdump -i enp2s0 -w test.pcap
tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C6 packets captured
7 packets received by filter
0 packets dropped by kernel

因此，經過一些實驗後，如果出現以下情況：

sudo tcpdump -i enp2s0 -U -w - | tee test.pcap | tcpdump -r -

-w -: 寫入標準輸出。

-U：一旦數據包到達就寫入數據包。不要等到緩衝區已滿。

Tee將寫入文件，並tcpdump -r -從標準輸入讀取數據包。

-w選項是將 tcpdump 輸出寫入文件。如果要在終端上列印，可以刪除該選項。

引用自：https://serverfault.com/questions/960405