如果我使用它会产生更详细的输出吗
tcpdump -vvv -w FILENAME
与如果我使用:
tcpdump -w FILENAME
或者如果我在使用“-w FILENAME”时使用“-vvv”没有任何意义?
答案1
不,我不这么认为,从联机帮助页来看:
-w Write the raw packets to file rather than parsing and printing
them out. They can later be printed with the -r option. Stan‐
dard output is used if file is ``-''.
- 笔记 ”原始数据包”——
-v When parsing and printing, produce (slightly more) verbose out‐
put. [...]
When writing to a file with the -w option, report, every 10 sec‐
onds, the number of packets captured.
因此,有意义的是使用tcpdump -vvv -r FILENAME解析和打印写入的内容FILENAME——原始数据包。
答案2
不。
一旦您选择,-w FILENAME它就会在原始数据包通过链接时保存它们。从字面上看有不是更多详细信息它可以保存到文件中。-vvv仅当您显示它以供人工审核时才相关...并且在几乎所有您希望人类阅读输出的情况下,我建议您使用Wireshark。
答案3
-w据我所知,唯一会影响您在模式下获得多少细节的标志是-s。
从历史上看,tcpdump默认情况下,每个数据包仅捕获 68 字节,以减少系统上的 I/O 负载。如果您正在监听 Web 连接,这足以获取以太网、IP 和 TCP 标头,但可能很少甚至没有 HTTP 标头。
如果你tcpdump是这样构建的,传递一个更大的“snaplen”-s可能会工作得很好,或者它可能会使你的系统超载。这取决于您的 CPU、磁盘和网络连接的速度,以及您要求每秒tcpdump捕获和写入磁盘的数据量。
对于以太网,-s 1514应捕获典型配置中的整个数据包。或者,您可以使用-s 0捕获整个数据包(无论大小),这在使用 VLAN 或巨型帧时可能很有用。
如果您将捕获文件加载到 Wireshark(或类似的)中,并且在传递时看到更多详细信息-s bignum,现在您知道原因了。如果没有任何变化,您的设备tcpdump可能是为了捕获完整的数据包而构建的。