仅当发生 RST 时才转储 tcp 流(tcpdump/tpick?)并保存到文件

仅当发生 RST 时才转储 tcp 流(tcpdump/tpick?)并保存到文件

我正在寻找一种方法来捕获整个 tcp 流,但仅当 1) 发生错误(如 RST)2) 不确定是否可能时将其保存到文件中 - 分析 http 响应,如果发生 HTTP 500 则存储为流。

网络流量很大,所以我想避免捕获整个流量。

目前tcpick可能是这样的:

例子:

在独特的文件中记录 http 数据(客户端和服务器混合在一起):

     # tcpick -i eth0 "port 80" -wRub

然后我可以分析已保存的文件并删除正确的文件 - 但这是一种过度的做法 :/

相关内容