usando “-vvv” com “-w FILENAME” com tcpdump faz melhor saída?

1

Faz uma saída mais detalhada se eu usar

tcpdump -vvv -w FILENAME

vs. se eu usar:

tcpdump -w FILENAME

ou não faz sentido se eu usar o "-vvv" quando estou usando "-w FILENAME"?

    
por LanceBaynes 03.01.2012 / 12:35

3 respostas

5

Não, acho que não, na página do manual:

   -w     Write the raw packets to file rather than parsing  and  printing
          them  out.  They can later be printed with the -r option.  Stan‐
          dard output is used if file is ''-''.

- note " pacotes brutos " -

   -v     When  parsing and printing, produce (slightly more) verbose out‐
          put.  [...]
          When writing to a file with the -w option, report, every 10 sec‐
          onds, the number of packets captured.

Então, o que faria sentido é usar tcpdump -vvv -r FILENAME para analisar e imprimir o que foi escrito em FILENAME - os pacotes brutos.

    
por 03.01.2012 / 12:47
3

Não.

Quando você estiver escolhendo -w FILENAME , ele salvará os pacotes de dados brutos à medida que eles forem enviados pelo link. Há literalmente não é mais detalhes que pode salvar em arquivo. -vvv só é relevante quando você está exibindo para revisão humana ... E em quase todos os casos em que você quer que os humanos leiam a saída, eu recomendo que você use Wireshark .

    
por 03.01.2012 / 12:47
3

A única flag de que estou ciente afeta a quantidade de detalhes que você recebe no modo -w é -s .

Historicamente, o tcpdump foi construído para capturar apenas 68 bytes por pacote, por padrão, para reduzir a carga de E / S no sistema. Se você está bisbilhotando uma conexão web, isso é o suficiente para obter os cabeçalhos Ethernet, IP e TCP, mas provavelmente pouco a nenhum dos cabeçalhos HTTP.

Se o seu tcpdump foi construído dessa forma, passar um "snaplen" maior com -s pode funcionar bem ou sobrecarregar seu sistema. Depende de quão rápido a sua CPU, disco e conexão de rede estão, e em quanto de dados por segundo você está pedindo tcpdump para capturar e gravar em disco.

Para Ethernet, -s 1514 deve capturar pacotes inteiros em configurações típicas. Alternativamente, você pode usar -s 0 para capturar todo o pacote, independentemente do tamanho, o que pode ser útil se VLANs ou Jumbo Frames estiverem em uso.

Se você carregar um arquivo de captura no Wireshark (ou similar) e vir mais detalhes ao passar -s bignum , agora você sabe o motivo. Se nada mudar, seu tcpdump provavelmente foi criado para capturar pacotes completos.

    
por 03.01.2012 / 17:38

Tags