对于这个简单的问题,我提前致歉,但我正在尝试学习有关 tcpdump 和网络的知识。
我正在跟踪所有到特定主机的流量
tcpdump -SX -i any dst host host.site.com
但是,在 tcpdump 输出中我看到打印出了不同的域,类似于
edge-123.site.com。
我 ping 了这两个 URL,发现它们有相同的 IP,所以这就是我查询的流量。
我想了解为什么我在输出中得到不同的主机名以及如何防止这种情况发生?谢谢。
答案1
您获得了不同的主机名,因为 tcpdump 查找了 IP 地址的 PTR 记录并在其显示中使用了该记录。
您可以关闭主机名查找并使用该-n选项仅显示 IP 地址。
您可能还想使用它两次,以避免打印协议和端口名称(例如25而不是smtp)。
从手册页中:
-n Don't convert host addresses to names. This can be used to
avoid DNS lookups.
-nn Don't convert protocol and port numbers etc. to names either.