Intereting Posts
Как использовать sudo в Fedora? Ограничить максимальное количество соединений на IP с помощью OpenWRT? Проблема с корневым устройством Arch linux в '/ dev / mapper / MyStorage-rootvol' Тайна небольшого раздела жесткого диска 1K и безопасна или вредоносная программа на Ubuntu 12.04.02LTS Amd64 generic sudoing при входе в систему как root Добавление и редактирование закладок в pdf Обновление до тестирования Debian показывает только белый шум Брандмауэр расширенной политики: allow_hosts.rules не работает Wrap the history number – сбросить номер истории без потери истории Как совместить строку, содержащую символ «$» с grep? Для чего используется / etc / timezone? Отключить выключение экрана в KDE во время просмотра iPlayer Возможно ли монтировать пространство подкачки по сети, например sshfs? Как уменьшить влияние изменения значения массива `fpath` на время запуска zsh? Как отменить регулярное выражение внутри другого регулярного выражения

Как отобразить все данные с помощью tcpdump?

Я собираю сетевой трафик с помощью tcpdump . Проблема в том, что я не вижу всех данных захвата, когда пакет слишком длинный. Например, когда длина кадра tcp больше 500, я вижу только 100-200 или меньше. Как отобразить все данные кадра (500+)? Я попытался добавить параметр -vv и -vvv . Это моя команда:

 tcpdump -i eth1 tcp and host 10.27.13.14 and port 6973 -vv -X -c 1000 

Вы можете использовать флаг -s snaplen, чтобы указать размер каждого пакета.

-s 0 задает размер пакета по умолчанию 65535 байт, что увеличивает время, затрачиваемое на обработку пакетов, и уменьшает количество буферизации пакетов, согласно странице руководства. Хотя это может работать здесь, оно может быть неприемлемым в других случаях, поскольку это может привести к потере пакетов.

snaplen практикой было бы установить флаг snaplen на наименьшее значение, необходимое для захвата того, что необходимо. Другой ответ предполагает 1500 байтов, чтобы увидеть весь пакет и 160 байт, если вас интересуют только заголовки.

Таким образом, хотя -s 0 может работать здесь, для будущего использования было бы лучше начать с -s 1500 и при необходимости настроить.

От man tcpdump :

Обратите внимание: при увеличении моментальных снимков увеличивается время, затрачиваемое на обработку пакетов, и, фактически, уменьшается количество буферизации пакетов. Это может привести к потере пакетов. Вы должны ограничить привязку до наименьшего числа, которое будет захватывать информацию о протоколе, в которой вы заинтересованы. Установка snaplen на 0 устанавливает его значение по умолчанию 65535 для обратной совместимости с более ранними версиями tcpdump.