Standard Asked: 2019-11-12 04:03:17 +0800 CST2019-11-12 04:03:17 +0800 CST 2019-11-12 04:03:17 +0800 CST 将 tcpdump/pcap 文件发送到远程服务器 772 我想使用 tcpdump 获取嵌入式系统上的所有流量。我将通过 sftp 或 ssh 将这些文件发送到我的服务器。 tcpdump 会“看到” pcap 文件传输到我的服务器吗?这将导致不需要的递归传输循环。 有没有办法只保存连接的元数据而不再次保存 pcap 数据?还是我必须过滤掉连接?如果是你,最简单的方法是什么? 我需要查看这些转储中 100% 的流量。 networking 1 个回答 Voted Best Answer Piotr P. Karwasz 2019-11-12T07:02:09+08:002019-11-12T07:02:09+08:00 您无需保存通过设备的所有数据即可了解正在发生的事情。-s因此,您可以使用tcpdump 选项限制每个数据包收集的数据量。例如: tcpdump -i eth0 -s 150 -w my_log_file 由于您的sftp会话将主要包含完整大小(可能为 1500 字节)的数据包,因此它将在您的日志文件中留下一个小痕迹:如果您有 100 MiB 的捕获数据,捕获捕获数据的传输将增加另外 10 MiB,捕获传输捕获的数据传输另外 1 MiB,以此类推。 过滤 如果您不需要捕获 ssh 会话,则可以将其过滤掉: tcpdump -i eth0 not host <server_ip> and not port 22 您没有解释为什么需要捕获嵌入式设备上的所有流量,但根据您的网络拓扑,您可能能够在服务器上捕获相同的流量(因此无需复制日志)。
您无需保存通过设备的所有数据即可了解正在发生的事情。
-s因此,您可以使用tcpdump 选项限制每个数据包收集的数据量。例如:由于您的sftp会话将主要包含完整大小(可能为 1500 字节)的数据包,因此它将在您的日志文件中留下一个小痕迹:如果您有 100 MiB 的捕获数据,捕获捕获数据的传输将增加另外 10 MiB,捕获传输捕获的数据传输另外 1 MiB,以此类推。
过滤
如果您不需要捕获 ssh 会话,则可以将其过滤掉:
您没有解释为什么需要捕获嵌入式设备上的所有流量,但根据您的网络拓扑,您可能能够在服务器上捕获相同的流量(因此无需复制日志)。