我已通过 apt-get 命令在 debian 8 上安装了 tcpdump。当我尝试使用以下命令在通过 SPAN 端口获取数据包的监控接口上记录数据包时“tcpdump -i 接口 -nn -c 25”我可以看到流量到达网络服务器并且网络服务器响应客户端。
但是当我尝试将这些数据包写入如下文件时“tcpdump -i 接口 -nn -w 文件.pcap -s 0”然后尝试读取文件“tcpdump -i 接口 -r 文件.pcap‘主机 xxxx’”我只能看到通信的一方。即 Web 服务器对客户端做出响应。有人遇到过这种情况吗?
我知道对话的双方都记录在 .pcap 文件中,因为我能够通过 tshark 检索对话的双方,但不能通过 tcpdump 检索。