我正在寻找一种方法来捕获整个 tcp 流,但仅当 1) 发生错误(如 RST)2) 不确定是否可能时将其保存到文件中 - 分析 http 响应,如果发生 HTTP 500 则存储为流。
网络流量很大,所以我想避免捕获整个流量。
目前tcpick可能是这样的:
例子:
在独特的文件中记录 http 数据(客户端和服务器混合在一起):
# tcpick -i eth0 "port 80" -wRub
然后我可以分析已保存的文件并删除正确的文件 - 但这是一种过度的做法 :/
仅当发生 RST 时才转储 tcp 流(tcpdump/tpick?)并保存到文件