在linux命令行环境下如何抓取网络数据包？

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpdump命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpdump命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析。

  2、eth0 是主机的网络适配器名称，具体的参数值可以在linux命令行窗口中通过 ifconfig 指令查询。

iptraf是一个实时查看网络流量的文本屏幕界面工具。

如果系统没有安装

如果是 RHEL，那么就去找安装盘中的 iptraf*.rpm 包安装；

如果是 CentOS，那么用 yum install -y iptraf 进行安装

iptraf是一个文本全屏幕界面， *** 作起来比较简单明了。最好使用 putty 来看，SecureCRT可能显示乱码。

它提供了很多统计方式：

（1）IP traffic monitor

（2）General interface statistics

（3）Detailed interface statistics

如果跟上 -B 参数，还可以后台执行，把数据保存到文件中，位于 /var/log/iptraf 目录。

2. sar

如果系统没有安装，

如果是 RHEL，那么就去安装盘中找 sysstat*.rpm 包安装；

如果是 CentOS，那么用 yum install -y sysstat 安装。

sysstat是一个工具包,包含有几个很有用的系统检测程序,iostat,mpstat和sar.

Turbolinux的各个版本上,都包含这个工具包.

iostat用于输出CPU,I/O系统和磁盘分区的统计信息.可以用来分析磁盘I/O,带宽等信息.

mpstat用于输出CPU的各种统计信息. 可以用来分析程序运行时在内核态和用户态的工作情况.

sar用于定时搜集系统的各种状态信息.然后可以对系统各个时间点的状态进行监控.

sar有很多用途，如果要来监控网络流量，使用下面的命令行方式：

sar -n DEV interval count

其中，interval是统计时间间隔，以秒为单位；count是总共统计几次，如果为0就不断的统计直到 Ctrl+C 打断，否则执行count次就退出。

比如：sar -n DEV 1 4

比如：sar -n DEV 10 0

IFACE：LAN接口

rxpck/s：每秒钟接收的数据包

txpck/s：每秒钟发送的数据包

rxbyt/s：每秒钟接收的字节数

txbyt/s：每秒钟发送的字节数