将“-vvv”与“-w FILENAME”与 tcpdump 一起使用可以产生更好的输出吗?

将“-vvv”与“-w FILENAME”与 tcpdump 一起使用可以产生更好的输出吗?

如果我使用它会产生更详细的输出吗

tcpdump -vvv -w FILENAME

与如果我使用:

tcpdump -w FILENAME

或者如果我在使用“-w FILENAME”时使用“-vvv”没有任何意义?

答案1

不,我不这么认为,从联机帮助页来看:

   -w     Write the raw packets to file rather than parsing  and  printing
          them  out.  They can later be printed with the -r option.  Stan‐
          dard output is used if file is ``-''.

- 笔记 ”原始数据包”——

   -v     When  parsing and printing, produce (slightly more) verbose out‐
          put.  [...]
          When writing to a file with the -w option, report, every 10 sec‐
          onds, the number of packets captured.

因此,有意义的是使用tcpdump -vvv -r FILENAME解析和打印写入的内容FILENAME——原始数据包。

答案2

不。

一旦您选择,-w FILENAME它就会在原始数据包通过链接时保存它们。从字面上看有不是更多详细信息它可以保存到文件中。-vvv仅当您显示它以供人工审核时才相关...并且在几乎所有您希望人类阅读输出的情况下,我建议您使用Wireshark

答案3

-w据我所知,唯一会影响您在模式下获得多少细节的标志是-s

从历史上看,tcpdump默认情况下,每个数据包仅捕获 68 字节,以减少系统上的 I/O 负载。如果您正在监听 Web 连接,这足以获取以太网、IP 和 TCP 标头,但可能很少甚至没有 HTTP 标头。

如果你tcpdump是这样构建的,传递一个更大的“snaplen”-s可能会工作得很好,或者它可能会使你的系统超载。这取决于您的 CPU、磁盘和网络连接的速度,以及您要求每秒tcpdump捕获和写入磁盘的数据量。

对于以太网,-s 1514应捕获典型配置中的整个数据包。或者,您可以使用-s 0捕获整个数据包(无论大小),这在使用 VLAN 或巨型帧时可能很有用。

如果您将捕获文件加载到 Wireshark(或类似的)中,并且在传递时看到更多详细信息-s bignum,现在您知道原因了。如果没有任何变化,您的设备tcpdump可能是为了捕获完整的数据包而构建的。

相关内容