linux服务器被攻击如何进行抓包来进行分析

用途

tcpdump简义：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。

 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

语法

tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>]

[-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

参数说明：>>原因就是你们局域网内某台计算机中了病毒进而潜进系统，攻击者伪装成网关的IP和MAC地址，来获取局域网的数据包，导致局域网的网速变慢，危险性就是，你们上网登陆一些网站的用户名和密码有可能被获取，解决的办法就是抓出内鬼，对电脑进行杀毒，你可以把你刚才的数据包进行一下分析，看看源IP地址和MAC地址是多少，还可以绑定网关MAC地址

话说你说的真心不够清楚，不太清楚你想干嘛？如果是你想抓自己电脑到ftp服务器的通信数据，那你就在自己电脑上装个wireshark，选择自己当前正在使用的网卡，在自己跟ftp服务器通信的时候，开始抓包就行了。如果要抓ftp服务器跟所有客户端的通信数据，那就在ftp服务器上装wireshark，选网卡，抓包就行了。
如果是都抓不到数据包，那可能是如下原因：
1、选取的网卡不是当前活动网卡，或者说不是ftp数据流走的那个网卡。
2、当前与ftp服务器没有通信。

---