linux下tcpdump抓包存在什么位置

tcpdump默认的是标准输出，一般来讲就是显示器，如果要将抓包结果保存到文件则需要使用-w参数，例如：

$ tcpdump -i eth1 -w /tmp/xxx.cap

抓eth1的包

tcpdump 手册页上有。

-w 选项带缓存的抓包。加上 -U选项就是不带缓存的抓包，这个时候就可以tail -f查看文件实时的变化，或者其他的文件 *** 作了。

但是更好的做法应该是使用libpcap库，提供的功能更多，能够做更多的 *** 作。

---