如何用wireshark分析tcpdump抓包

在Linux系统中，使用tcpdump抓包非常便捷，但直接分析较为繁琐，通常会将抓取的数据包导出到Windows平台，借助Wireshark等图形化工具进行更高效、直观的分析，提升排查效率。

1、 使用tcpdump -w指定文件保存抓包数据，运行一段时间后按CTRL+C即可停止抓包并保存文件。

2、 指定抓包网络端口时，可使用tcpdump -i 端口名称，若不指定则默认仅捕获第一个网络接口的数据。

3、 使用tcpdump保存到文件虽可行，但生成的抓包文件在传输至Windows后，可能无法被Wireshark正常读取或打开。

4、 在Linux中使用sz命令可将抓包文件传输至Windows主机，操作格式为：sz 文件名。

5、 通过sz传输文件速度较慢，大体积抓包文件建议采用SFTP或FTP模式进行下载。

6、 下载完成后，将文件后缀改为.cap，即可用Wireshark直接打开进行分析。