我编写了一个Python脚本,将 的文本输出转换tcpdump -i eth0 -neXXs0为text2pcap. 这是我的第一个Python程序,我正在寻找建议来提高其效率、可读性或代码中的任何潜在差异。
我正在使用的输出格式tcpdump如下所示:
20:11:32.001190 00:16:76:7f:2b:b1 > 00:11:5c:78:ca:c0, ethertype IPv4 (0x0800), length 72: 123.236.188.140.41756 > 94.59.34.210.45931: UDP, length 30
0x0000: 0011 5c78 cac0 0016 767f 2bb1 0800 4500 ..\x....v.+...E.
0x0010: 003a 0000 4000 4011 812d 7bec bc8c 5e3b .:..@.@..-{...^;
0x0020: 22d2 a31c b36b 0026 b9bd 2033 6890 ad33 "....k.&...3h..3
0x0030: e845 4b8d 2ba1 0685 0cb3 70dd 9b98 76d8 .EK.+.....p...v.
0x0040: 8fc6 8293 bf33 325a .....32Z
输出
可以理解的格式 …
对于下面附加的 tcptrace 输出(这是从站点http://tcptrace.org/manual/index.html在 RTT stats 下获取的)
1 arg remaining, starting with 'indica.dmp.gz'
Ostermann's tcptrace -- version 6.4.5 -- Fri Jun 13, 2003
153 packets seen, 153 TCP packets traced
elapsed wallclock time: 0:00:00.128422, 1191 pkts/sec analyzed
trace file elapsed time: 0:00:19.092645
TCP connection info:
1 TCP connection traced:
TCP connection 1:
host a: 192.168.0.70:32791
host b: webco.ent.ohiou.edu:23
complete conn: yes
first packet: Thu Aug 29 18:54:54.782937 2002
last packet: Thu Aug 29 18:55:13.875583 2002
elapsed time: 0:00:19.092645
total …我正在寻找一个在openwrt上运行的tcpdump二进制文件.该网站仅显示必须构建的源代码.有人指着我包含预建二进制文件的位置吗?谢谢.
我正在使用tcpdump调试SSDP服务.
$ sudo tcpdump -Aq udp port 1900
打印UDP数据包时,我在HTTP标头之前得到了很多胡言乱语,我认为它是IP和UDP标头.如何禁止打印这些打印,只打印数据包(包括HTTP标头)中的应用程序级数据?
这是一个例子,我不想要的东西是在NOTIFY第二行之前:
14:41:56.738130 IP www.routerlogin.com.2239 > 239.255.255.250.1900: UDP, length 326
E..b..@................l.N..NOTIFY * HTTP/1.1
HOST: 239.255.255.250:1900
我使用libpcap捕获很多数据包,然后处理/修改这些数据包并将它们发送到另一台主机。
首先,我创建一个 libpcap 处理程序handle并将其设置为非阻塞,并用于pcap_get_selecable_fd(handle)获取相应的文件描述符pcap_fd。
然后我将一个事件添加pcap_fd到 libevent 循环中(就像 select() 或 epoll())。
为了避免频繁轮询这个文件描述符,每次有数据包到达事件时,我使用 pcap_dispatch 收集缓冲区的数据包并将它们放入队列中packet_queue,然后调用process_packet处理/修改/发送队列中的每个数据包packet_queue。
pcap_dispatch(handle, -1, collect_pkt, (u_char *)packet_queue);
process_packet(packet_queue);
我使用 tcpdump 捕获 发送的数据包process_packet(packet_queue),并注意:
我仔细检查了我的源代码,没有发现任何可疑的块或逻辑导致如此大的间隔。所以我想知道是否是由于功能的问题pcap_dispatch。
pcap_dispatch 或 pcap_next 甚至 libpcap 文件描述符是否存在效率问题?谢谢!
运行 tcpdump 时不提供任何接口
tcpdump -nS,
我收到tcpdump: cannot use data link type PKTAP错误,因此我尝试在命令中提供 Interface 选项
tcpdump -i eth0甚至eth1
然后我得到以下错误
tcpdump: eth1: No such device exists
(BIOCSETIF failed: Device not configured)
我什至尝试在互联网上查找,但我没有得到任何解决方案......
有什么帮助吗?
我正在通过网络适配器捕获 tcp/udp 数据包,并尝试分析数据包以获得一些统计指标,例如带宽速率或协议效率。无论如何,我需要使用一些 CLI 工具监视特定链接(src、dst、端口,可能是整体流量)上的网络流量。
我想要的捕获工具可以是:
长时间运行以监控大文件传输;
同时运行多个实例来监控不同的链接;(不想复杂的过滤规则);
能够写入磁盘数据,我不希望io操作过多影响捕获和其他进程,所以二进制文件是可以的,只要它可以被tshark转储即可。
现在我知道 tshark、tcpdump(目前使用它)和 dumpcap,但我不知道这些工具之间的性能差异。有人可以帮忙吗?
我想将数据包内容描述和数据包数据捕获到一个文件中,tcpdump以备日后检查.
目前我正在使用-w选项将数据包数据保存到文件:
tcpdump -c 100 -w /root/tcpdump.txt
这将分组数据保存到文件中,但在每个分组之前还包括几行二进制.但是,我希望tcpdump在没有二进制文件的数据包数据本身(在同一文件中)之前显示数据包内容描述(运行时通常显示在STDOUT上的内容).
因此该文件应为每个数据包保存以下内容:
我想要保存到文件的示例:
17:17:42.847059 IP some.server.com.17845 > some.host.net.55618: Flags [P.], seq 137568:137888, ack 1185, win 167, length 320
<-- Followed by the raw packet data here -->
此信息将用于以后的文件分析,以便我们查看发往特定主机/地址的完整数据包.
任何人都可以建议如何做到这一点?
我正在使用tcpdump捕获网络流量.问题是:当包太长时,我看不到所有捕获数据.例如,当tcp帧长度超过500时,我只看到100-200或更少.如何显示所有帧数据(500+)?
我试过添加-vv和-vvv参数.这是我目前的命令:
tcpdump -i eth1 tcp and host 10.27.13.14 and port 6973 -vv -X -c 1000
19:25:47.629351 IP 2.2.2.2.80 > 1.1.1.1.31889: Flags [.], seq 2372487272:2372492544, ack 2808407165, win 122, options [nop,nop,TS val 911640439 ecr 235835291], length 5272
19:25:47.631626 IP 1.1.1.1.31889 > 2.2.2.2.80: Flags [.], ack 2372480682, win 3876, options [nop,nop,TS val 235835291 ecr 911640428], length 0
19:25:47.631638 IP 1.1.1.1.31889 > 2.2.2.2.80: Flags [.], ack 2372483318, win 3793, options [nop,nop,TS val 235835291 ecr 911640428], length 0
19:25:47.631677 IP 1.1.1.1.31889 > 2.2.2.2.80: Flags [.], ack 2372483318, win 4096, options [nop,nop,TS val 235835292 ecr 911640428], length 0
19:25:47.674712 IP …