我正在使用 tcpdump 查看一些 pcap 文件,但在输出中,我看到以下错误,而不是获取标头信息:
packet exceeded snapshot
我用 Google 搜索了一下,但没有找到关于这个错误的含义以及导致这个错误的原因的任何详细解释。
答案1
如源代码所示 tcpdump-dicom 打印-lwapp.c,当捕获的数据大小不足以包含邮件的整个报头时,发出此消息。
这
TCPDUMP 的手册页
对于参数说-s
:
--快照长度=snaplen
Snarf snaplen 每个数据包的数据字节数,而不是 默认为 262144 字节。
快照指的是捕获的数据,包指的是整个传输的消息。
看起来这不是 tcpdump 的问题,而是创建 pcap 文件的软件的问题,它转储了太小部分的数据包。但如果数据包是完整的,那么 tcpdump 的转储格式就有问题。