Como vejo carimbos de tempo absolutos no Wireshark?

Question

Olivier Lasne

Asked: 2019-03-29 01:55:43 +0800 CST2019-03-29 01:55:43 +0800 CST 2019-03-29 01:55:43 +0800 CST

Como posso ver pacotes durante a captura com tcpdump

772

Como posso ver o tráfego enquanto o estou capturando com o tcpdump.

Quando eu uso -w, ele não mostra os pacotes durante a captura.

sudo tcpdump -i enp2s0 -w test.pcap
tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C6 packets captured
7 packets received by filter
0 packets dropped by kernel

4 respostas

Voted

Olivier Lasne · Answer 1 · 2019-03-29T02:23:32+08:00

Best Answer

Olivier Lasne

2019-03-29T02:23:32+08:002019-03-29T02:23:32+08:00

Então, depois de um pouco de experiência, a resposta é o seguinte:

sudo tcpdump -i enp2s0 -U -w - | tee test.pcap | tcpdump -r -

-w -: escreve na saída padrão.

-U: escreve pacotes assim que eles chegam. Não espere até que o buffer esteja cheio.

Teegravará no arquivo e tcpdump -r -lerá os pacotes da entrada padrão.

9

Sithter · Answer 2 · 2019-03-29T02:05:02+08:00

Sithter

2019-03-29T02:05:02+08:002019-03-29T02:05:02+08:00

-wopção é gravar a saída do tcpdump em um arquivo. você pode remover essa opção se quiser imprimir em seu terminal.

2

Diamond · Answer 3 · 2019-03-29T02:06:09+08:00

Como você está usando a opção -w, os pacotes estão sendo salvos no arquivo e não exibidos na saída padrão. Aqui na página de manual do tcpdumup:

https://www.tcpdump.org/manpages/tcpdump.1.html

-w file
    Write the raw packets to file rather than parsing and printing them out. They can later be printed with the -r option. Standard output is used if file is ``-''. 
    This output will be buffered if written to a file or pipe, so a program reading from the file or pipe may not see packets for an arbitrary amount of time after they are received. Use the -U flag to cause packets to be written as soon as they are received. 
    The MIME type application/vnd.tcpdump.pcap has been registered with IANA for pcap files. The filename extension .pcap appears to be the most commonly used along with .cap and .dmp. Tcpdump itself doesn't check the extension when reading capture files and doesn't add an extension when writing them (it uses magic numbers in the file header instead). However, many operating systems and applications will use the extension if it is present and adding one (e.g. .pcap) is recommended. 
    See pcap-savefile(5) for a description of the file format.

Se você quiser fazer as duas coisas ao mesmo tempo, aqui está uma maneira de conseguir isso:

Como posso fazer com que o tcpdump grave no arquivo e produza os dados apropriados?

kernelkode · Answer 4 · 2021-01-24T18:30:32+08:00

kernelkode

2021-01-24T18:30:32+08:002021-01-24T18:30:32+08:00

Para anexar um novo processo a um dump em andamento, tente:

tail -F -n+0 $dumpfile | tcpdump -r -

2

Como posso ver pacotes durante a captura com tcpdump

Você pode passar usuário/passar para autenticação básica HTTP em parâmetros de URL?

Ping uma porta específica

Verifique se a porta está aberta ou fechada em um servidor Linux?

Como automatizar o login SSH com senha?

Como posso dizer ao Git para Windows onde encontrar minha chave RSA privada?

Qual é o nome de usuário/senha de superusuário padrão para postgres após uma nova instalação?

Qual porta o SFTP usa?

Linha de comando para listar usuários em um grupo do Windows Active Directory?

O que é um arquivo Pem e como ele difere de outros formatos de arquivo de chave gerada pelo OpenSSL?

Como determinar se uma variável bash está vazia?

Como posso ver pacotes durante a captura com tcpdump

4 respostas

relate perguntas