como capturar e ver o conteúdo do pacote com o tcpdump

2

Estou tentando tráfego HTTP para a porta 8007 em um arquivo e, em seguida, visualizá-los posteriormente.

# tcpdump -i eth0 -s0 -n -w /tmp/capture port 8007 &
# tcpdump -r /tmp/capture -A | grep '10.2.1.50'

Eu esperava ver dados de pacotes em ASCII, mas isso não acontece. O que eu recebo é algo como:

23:03:16.819935 IP 10.2.1.50.8007 > 10.2.1.120.57469: . ack 1369 win 272 <nop,nop,timestamp 188139705 215355175>
23:03:16.819943 IP 10.2.1.120.57469 > 10.2.1.50.8007: P 1369:1592(223) ack 1 win 12 <nop,nop,timestamp 215355175 188139703>
23:03:16.819947 IP 10.2.1.50.8007 > 10.2.1.120.57469: . ack 1592 win 272 <nop,nop,timestamp 188139705 215355175>
23:03:17.029587 IP 10.2.1.50.8007 > 10.2.1.120.57469: P 1:780(779) ack 1592 win 272 <nop,nop,timestamp 188139758 215355175>
23:03:17.029736 IP 10.2.1.50.8007 > 10.2.1.153.49989: F 822:822(0) ack 3494 win 272 <nop,nop,timestamp 188139758 1641992210>
23:03:17.040759 IP 10.2.1.120.57469 > 10.2.1.50.8007: . ack 780 win 15 <nop,nop,timestamp 215355396 188139758>
23:03:17.079305 IP 10.2.1.153.49989 > 10.2.1.50.8007: . ack 823 win 15 <nop,nop,timestamp 1642053303 188139758>

Como corrijo a gravação ou leitura para ver o conteúdo real? Eu tentei outras opções, como -v, mas isso não é para o conteúdo. Eu estou usando o SLES 11 SP2. A tcpdump é a ferramenta certa para isso?

Muito obrigado.

- EDITAR

# tcpdump --version
tcpdump version 3.9.8
libpcap version 0.9-PRE-CVS

Eu também tentei com a opção -X, mas ainda não vejo os dados da carga útil.

    
por Dinesh 02.12.2014 / 00:23

2 respostas

3

Esse é o conteúdo. Você provavelmente usou algum comando para filtrar o conteúdo.

    
por 02.12.2014 / 01:00
1

Você pode ver apenas o cabeçalho e não o conteúdo do pacote, porque você canalizou a saída para o grep. Então é só pegar as linhas em que o endereço IP está presente.

A opção

-A para tcpdump também fornece o conteúdo do pacote.

    
por 07.04.2018 / 14:06

Tags