tcpdump长时间抓包

tcpdump -i eth0 -s 1514 -C 20 -W 50 -w 61.pcap

-W: 最多写入多少个抓包文件，编号从00到19,19号写满后，从00号文件重新开始循环写

-C: 每个文件的大小上限，以M为单位；-C 20 -W 50 就是说，最多写入50个pcap文件，每个文件大小最大20M（总共最多占磁盘1G），编号从00到19，循环写入

-s: 指定每个包抓多大，默认是68字节，我们可以自己指定它的大小，如果觉得68字节不足以分析的话

注意：

1）如果系统提示不允许在当前目录抓包，cd /tmp

2）可以在tcpdump命令中定义抓包规则，例如

tcpdump -i eth0 tcp and port 443 and host 61.190.80.77 -s 1514 -C 20 -W 50 -w 61.pcap

这种长时间抓包有时还是蛮有用的，下面是个曾经遇到的例子：

一台局域网内部机器向公网IP机器发起了一个TCP连接，并且希望该连接长期有效。但是我们发现，这种连接经常不定时地断掉，有人猜测可能是某些TCP连接属性如keep-alive之类的没设造成的。于是在内部和公网IP两台机器上同时抓包（最多20个文件，每个文件最大50M，并且加了过滤规则，避免循环覆盖），让tcpdump跑了一夜。结果发现，内网机器抓的包显示自己没有主动去断开连接；公网IP机器上抓的包显示，有个奇怪的IP的机器主动对某个关键连接做了RESET操作！然后在内网机器通过“traceroute 公网IP”命令发现，那个奇怪的IP就是内网对外的地址！也就是说，由于某项安全策略，那台机器主动断开了到公网IP的链接！