Pacotes capturados com o arquivo tcpdump vs. tcpdump

0

Por que existe tal diferença no número de pacotes capturados pelo tcpdump quando a saída é gravada no console e no arquivo?

$ tcpdump
...
1681 packets captured
1681 packets received by filter
0 packets dropped by kernel

vs.

# tcpdump > /root/dump.txt 
...
11 packets captured
12 packets received by filter
0 packets dropped by kernel

Em ambos os casos, terminei o comando com Ctrl + C após alguns segundos.

Editar: O comando tcpdump -w /root/dump.txt também captura apenas alguns pacotes. Esse comportamento é consistente, tentei muitas vezes.

    
por Prvaak 12.04.2014 / 15:25

1 resposta

1

Sim, como você percebeu, a saída de texto do tcpdump está passando por sua conexão ssh com o host do qual você se conectou à máquina na qual você está executando o tcpdump e, portanto, é capturado pelo tcpdump. Com -w , o tcpdump não imprime nada por pacote, portanto, ele não é transmitido (a menos que você esteja salvando a captura em um arquivo em um sistema de arquivos montado em um servidor de arquivos, como um NFS ou SMB). ou servidor AFP).

Wireshark e TShark tentam detectar que você está executando o Wireshark sobre o X11 ou o TShark sobre o ssh e, se estiver, ajusta o filtro de captura para filtrar o tráfego do X11 ou ssh para o host do qual você está executando eles. Para o tcpdump, você pode querer usar um filtro como

not (host {host from which you're sshing} and port ssh)

ou, se você já estiver usando um filtro, E esse filtro com o que você está usando, para filtrar seu tráfego SSH.

    
por 13.04.2014 / 21:42

Tags