Às vezes, preciso usar tcpdump para solucionar problemas com protocolos de rede que o tcpdump não sabe como analisar.
Existe algum utilitário que possa ler pacotes tcpdump no formato hex dump e analisá-los de acordo com a estrutura especificada para este utilitário?
Algo como:
tcpdump -nxi any udp | the_utility "Packet_id:%d@60"
para cada pacote seria impresso:
Packet_id:1
Packet_id:2
Packet_id:4
Packet_id:3
A ideia é que no offset 60 existe um inteiro de 32 bits que eu quero imprimir em formato decimal para STDOUT.
Eu entendo que a fragmentação de IP e a remontagem de TCP precisariam passar algum estado para o próximo dump hexadecimal para que ele seja interpretado corretamente. Vamos supor que isso não seja um problema para mim. No entanto, se você souber de uma solução elegante que poderia resolver isso, então seria ótimo.
Embora eu goste do Wireshark, nem sempre tenho uma opção para copiar arquivos de captura de pacotes para minha estação de trabalho para inspeção offline. Além disso, estes são dispositivos de produção onde eu tenho que executar o tcpdump - isso significa que eu preciso de uma solução onde eu não teria que instalar nada extra.