Como faço para o tcpdump não imprimir os cabeçalhos tcp?

23

Eu tentei isso:

tcpdump -s 1500 -A -l -i eth0 '(port 6667) and (length > 74)'

Eu preciso apenas da parte ascii dele. Como faço para remover o resto?

    
por coder 28.11.2010 / 16:29

6 respostas

13

Como Josh sugere, tcpflow pode imprimir apenas os dados do pacote TCP para um arquivo ou STDOUT. Você pode canalizar o tcpdump para tcpflow assim:

tcpdump -i lo -l -w - port 23 | tcpflow -C -r -

Para ver apenas um lado da conversa, você pode usar filtros para o tcpdump, por exemplo dst port 23 .

    
por 18.02.2014 / 04:02
5

Não tenho certeza sobre a sintaxe exata de tcpdump ... na verdade, marquei essa pergunta como favorita porque gostaria de saber! Mas, como uma solução alternativa, você pode tentar usar o tcpflow . Funciona essencialmente da mesma maneira, mas imprime a saída ASCII muito melhor; excluiu os cabeçalhos e imprime os pacotes sequencialmente como um fluxo, por isso é mais fácil de ler e seguir em tempos do que tcpdump .

    
por 14.04.2011 / 17:01
4

Uma maneira rápida e suja de fazer isso é filtrar a saída por meio de strings:

tcpdump -nli eth0 '(port 6667) and (length > 74)' -s 0 -w - | strings

Às vezes, você não tem outras ferramentas e, para dar uma olhada rápida na carga útil, isso é o suficiente. Não é bom se você precisa da carga exata para injeção ou uma análise exata, é claro.

    
por 14.04.2011 / 17:34
3

Eu sinto que a solução mais elegante é apenas abandonar o tcpdump. Nenhum tubo de qualquer tipo:

tcpflow -c port 6667

E é isso.

    
por 26.06.2017 / 00:29
1

Se você precisar apenas da parte ASCII, use: tcpdump -s 1500 -A -l -i eth0 '(port 6667) and (length > 74)'|sed 's/\.//g' ou com ngrep: ngrep -d eth0 -lq . '(port 6667) and (length > 74)' |sed -rn '/^ /s/\.//gp'

    
por 14.04.2011 / 18:04
1

Eu tive o mesmo problema na semana passada - usei o wireshark gui e fiz um "ascii de leitura legível" para os pacotes interessantes.

Eu estava (com êxito) tentando localizar um problema com uma solicitação http para um serviço da web e sua resposta XML.

    
por 30.07.2011 / 23:00