Eu tentei isso:
tcpdump -s 1500 -A -l -i eth0 '(port 6667) and (length > 74)'
Eu preciso apenas da parte ascii dele. Como faço para remover o resto?
Como Josh sugere, tcpflow pode imprimir apenas os dados do pacote TCP para um arquivo ou STDOUT. Você pode canalizar o tcpdump para tcpflow assim:
tcpdump -i lo -l -w - port 23 | tcpflow -C -r -
Para ver apenas um lado da conversa, você pode usar filtros para o tcpdump, por exemplo dst port 23 .
Não tenho certeza sobre a sintaxe exata de tcpdump ... na verdade, marquei essa pergunta como favorita porque gostaria de saber! Mas, como uma solução alternativa, você pode tentar usar o tcpflow . Funciona essencialmente da mesma maneira, mas imprime a saída ASCII muito melhor; excluiu os cabeçalhos e imprime os pacotes sequencialmente como um fluxo, por isso é mais fácil de ler e seguir em tempos do que tcpdump .
Uma maneira rápida e suja de fazer isso é filtrar a saída por meio de strings:
tcpdump -nli eth0 '(port 6667) and (length > 74)' -s 0 -w - | strings
Às vezes, você não tem outras ferramentas e, para dar uma olhada rápida na carga útil, isso é o suficiente. Não é bom se você precisa da carga exata para injeção ou uma análise exata, é claro.
Eu sinto que a solução mais elegante é apenas abandonar o tcpdump. Nenhum tubo de qualquer tipo:
tcpflow -c port 6667
E é isso.
Se você precisar apenas da parte ASCII, use: tcpdump -s 1500 -A -l -i eth0 '(port 6667) and (length > 74)'|sed 's/\.//g' ou com ngrep: ngrep -d eth0 -lq . '(port 6667) and (length > 74)' |sed -rn '/^ /s/\.//gp'
Eu tive o mesmo problema na semana passada - usei o wireshark gui e fiz um "ascii de leitura legível" para os pacotes interessantes.
Eu estava (com êxito) tentando localizar um problema com uma solicitação http para um serviço da web e sua resposta XML.