sha*_*dow 4 networking wireshark tcpdump packet-capture
对于 tcpdump,我使用此命令来查看数据包详细信息:
tcpdump -vvv -i interface
并将数据包保存到 pcap 文件中:
tcpdump -i interface -w output
第一个命令的详细信息少于使用第二个命令放入 pcap 文件中的详细信息。
我怎样才能在终端中看到相同的详细信息?
来自的详细信息
tcpdump -vvv -i interface少于使用 放入 pcap 文件中的详细信息tcpdump -i interface -w output。
那是对的。
保存-w完整的原始数据包,否则 tcpdump 运行其内部解析器来生成手册中所说的“数据包数据的描述” 。(而不是“完全解码”的数据包数据。)
您-vvv还只选择了支持的命令行选项中的一个选项( “甚至更详细”tcpdump ) ,但该单个选项并没有涵盖支持的整个解码选项范围。手册中有更多选项可以调整显示的内容,这可能很有用(取决于您的需要)。
例如,仅使用该-vvv选项时,显示的数据包描述不包括您添加时看到的信息-e。
不管怎样,tcpdump 内部数据包解析器的功能和解码能力都达不到像 Wireshark 这样的完整数据包分析器(具有各种协议解码插件)的功能。
--print我经常发现结合使用该选项很有用,-w让 tcpdump 将解析后的数据包描述打印到我的控制台,同时将完整的数据包数据保存到 pcap 文件以供进一步分析。
我可以在控制台上看到并确认我想要分析的事件已被捕获,然后停止tcpdump并在 Wireshark 中加载 pcap 文件以进行更详细的分析。
| 归档时间: |
|
| 查看次数: |
592 次 |
| 最近记录: |