Estou aprendendo a usar tshark para entender melhor o trabalho em rede. Como usuário, o protocolo que mais uso no dia a dia é o SSH. Então eu pensei em iniciar um filtro de captura em pacotes ssh no meu servidor e ver o que acontece. Eu corri o seguinte comando
sudo tshark -f "tcp port 22"
e depois começa a escutar na primeira interface disponível. Eu não vejo nada, então eu levanto outra tela do Terminal e ssh para minha caixa. Quando me conecto, uma quantidade incrivelmente grande de pacotes começa a ser capturada, e todas as centenas de milhares de pacotes são assim:
< p > 751253 17,666088 134,173,60,192 - > 134,173.63,11 TCP 66 53596 > ssh [ACK] Seq = 44101 Ack = 83725993Win=1356 Len=0 TSval=739170816 TSecr=8520295
751254 17.666092 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726173 Win=1351 Len=0 TSval=739170816 TSecr=8520295
751255 17.666094 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726209 Win=1350 Len=0 TSval=739170816 TSecr=8520295
751256 17.666096 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726389 Win=1344 Len=0 TSval=739170816 TSecr=8520295
751257 17.666098 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726521 Win=1340 Len=0 TSval=739170816 TSecr=8520295
751258 17.666098 x.x.x.x -> y.y.y.y SSH 198 Encrypted response packet len=132
Então, minha pergunta é: isso é esperado? É normal ter 100.000 pacotes sendo capturados pelo tshark a partir de uma única conexão ssh em algo como 5 segundos?
A taxa dos pacotes ssh de entrada parece crescer linearmente, de modo que a princípio ele captura apenas 500 pacotes por segundo, mas depois de 5 segundos ele captura 100.000 pacotes por segundo.
Você provavelmente criou um loop.
pacote capturado - > saída para shell - > pacotes gerados a partir dessa saída - > de volta à captura de pacotes
Saída para um arquivo silenciosamente (raw) ou
tshark -q -f "tcp port 22" -w test.raw
como texto, redirecionando a saída.
tshark -f "tcp port 22" > test.txt
Tags networking wireshark tshark