Wireshark 会猜测数据包中使用了哪些高级协议,但是如何让 tcpdump 也这样做(或任何其他 Linux 命令行工具)?
例如,以下屏幕截图显示 wireshark 检测到“HTTP”作为正在捕获的协议:http://www.tohir.co.za/wp-content/uploads/2010/09/wireshark_filters.png
但是,tcpdump 的 cli 输出只是说它是“IP”协议——这并不是错误的,但我想要一个可以为我确定正在使用什么常见的高级协议的工具。
答案1
tcpdumps 的主要目的是捕获数据包。这必须快速完成,因为您不想错过数据包。
Wireshark 的主要目的是分析数据包。通常,您有充足的时间来进行分析。对于捕获(在 Windows 上),wireshark 使用特殊的驱动程序,该驱动程序也只能看到“IP”包。
因此,tcpdump 和 wireshark 只是用于不同任务的不同工具。但它们可以完美地协同工作。