linux - 进行抓包 tcpdump splunk smb icmp outbound traffice

refer to: https://www.doubao.com/thread/wc8f49beeaea98f3e

ip addr 查看 有几个网卡

setsid nohup sudo tcpdump -i ens5 'icmp or port 445 or port 139' -w icmp_and_smb_traffic.pcap &

同时监听： icmp 流量， 445、139 流量（SMB）

把结果保存到 .pcap 文件中。

sudo nohup tcpdump -i ens5 icmp -w icmp.pcap > icmp.log 2>&1 &

注意：

1. 务必使用 -w。  因为他的原理是使用了什么buffer output. -w 才能写入到文件。

2. 结果会保存到 icmp.pcap中。  后面的 >icmp.log 其实很鸡肋。

3. 命令严格按照上面，不要加入setsid.  

读取文件：

tcpdump -r icmp.pcap 即可。