对于 tcpdump,我使用此命令查看数据包详细信息:
tcpdump -vvv -i interface
并将数据包保存到 pcap 文件中:
tcpdump -i interface -w output
第一个命令的详细信息少于使用第二个命令放入 pcap 文件中的详细信息。
我如何才能在终端中看到相同的详细信息?
答案1
来自的详细信息
tcpdump -vvv -i interface少于使用 放入 pcap 文件的详细信息tcpdump -i interface -w output。
那是对的。
完整-w的原始数据包被保存,否则 tcpdump 运行其内部解析器来生成手动的调用“A描述数据包数据”。(而不是“完全解码”封包數據。
由于-vvv您只选择了一个选项(“更加冗长”) 支持的命令行选项tcpdump,但单个选项并不能涵盖支持的所有解码选项。手动的调整显示的内容可能会有用(取决于您的需要)。
例如,仅使用-vvv选项时显示的数据包描述不包含您添加时看到的信息-e。
无论如何,tcpdump 内部数据包解析器的功能和解码能力都比不上 Wireshark 等完整数据包分析器(带有各种协议解码插件)的功能。
--print我经常发现将该选项与 tcpdump 结合使用很有用,-w它可以将解析的数据包描述打印到我的控制台,同时将完整的数据包数据保存到 pcap 文件中以供进一步分析。
我可以在控制台上看到并确认我想要分析的事件已被捕获,停止tcpdump,然后还可以将 pcap 文件加载到 Wireshark 中以进行更详细的分析。