LINUX.ORG.RU
ФорумAdmin

Есть вопрос по tcpdump

 


1

1

Вот допустим есть команда 

tcpdump -i eth0 -nntv "host 192.168.0.2 and tcp"
Как изменить ключи команды, чтобы:
1. тело пакета выводилось на консоль в виде текста
2. если пакет содержит данные определённого вида, скажем http-трафик, чтобы автоматом подключался анализатор этого вида трафика

★★★★★

Ответ на: комментарий от beastie
  1. -X будет выводить в 3 колонки, гдн во второй бует hex-код, а в третий - текст, а как вывести только текст?
  2. Вроде ж tcpdump умеет это и без wireshark, один раз видел демонстрацию подобного. К тому же на удалённом сервере wireshark не запустишь
sunny1983 ★★★★★
() автор топика
Ответ на: комментарий от sunny1983
  1. tcpdump -A : Print each packet (minus its link level header) in ASCII. Handy for capturing web pages. Но это и для мено ново, всегда испльзовал -X.
  2. Говорят, что есть и CLI версия → tshark.
beastie ★★★★★
()
Ответ на: комментарий от sunny1983

К тому же на удалённом сервере wireshark не запустишь

wireshark на локальном, tcpdump на удаленном, ssh транспорт

zent
()
Ответ на: комментарий от beastie

версия tcpdump если что - 4.1-PRE-CVS_2016_05_10

А вообще я сам вижу в man, что написано 

 -A     Print each packet (minus its link level header) in ASCII.  Handy for capturing web pages.
но по факту вместо печати тела каждого пакета в ASCII подключается анализатор пакетов, который всё-таки в tcpdump есть, потому что вот я задаю фильтровать пакеты udp порта 5060 (SIP) и мне идёт анализ SIP-трафика, даже Call-ID звонящего печатается: 
IP 192.168.170.5.5060 > 10.0.1.2.5060: SIP, length: 530
E.......<.......
...........OPTIONS sip:10.0.1.2 SIP/2.0
Via: SIP/2.0/UDP 192.168.170.5:5060;branch=z9hG4bK709e7c39;rport
Max-Forwards: 70
From: "Unknown" <sip:Unknown@192.168.170.5>;tag=as0938f447
To: <sip:10.0.1.2>
Contact: <sip:Unknown@192.168.170.5:5060>
Call-ID: 056285aa7a39efcd605cca5c217edbb6@192.168.170.5:5060
CSeq: 102 OPTIONS
User-Agent: FPBX-2.11.0(11.12.0)
Date: Sat, 12 Feb 2022 07:07:46 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0


IP 10.0.1.2.5060 > 192.168.170.5.5060: SIP, length: 475
E...j...@...
.............w.SIP/2.0 404 Not Found
Via: SIP/2.0/UDP 192.168.170.5:5060;branch=z9hG4bK709e7c39;received=192.168.170.5;rport=5060
From: "Unknown" <sip:Unknown@192.168.170.5>;tag=as0938f447
To: <sip:10.0.1.2>;tag=as71c75350
Call-ID: 056285aa7a39efcd605cca5c217edbb6@192.168.170.5:5060
CSeq: 102 OPTIONS
Server: CCM4.0
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Accept: application/sdp
Content-Length: 0

sunny1983 ★★★★★
() автор топика
Последнее исправление: sunny1983 (всего исправлений: 1)

Tshark почти по всем параметрам удобнее tcpdump(за исключением одного специфичного сценария, типа когда надо проиграть дамп и сразу записать его в новый с нужными фильтрами), например, он искаропки может писать сразу в stdout и в файл или сразу переопределять порты для протокола, если сервис работает на нестандартном порту или дампить X секунд и прочее и прочее

zolden ★★★★★
()

Ладно, если никто не знает как использовать встроенный анализатор tcpdump без wireshark и tshark, то опустим этот вопрос. Вопрос такой тогда, как в tcpdump снять дамп в формате .pcap?

sunny1983 ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin