История изменений
Исправление vel, (текущая версия) :
Вроде у wireshark есть своя утиль для захвата трафика «tshark»
От версии к версии у tcpdump есть разница, да есть еще зависимость от версии libpcap.
У меня tcpdump понимает '-w -' дословно, т.е. пишет в файл '-'
Работает такая конструкция:
tcpdump -Unqi eth1 -s0 -w /dev/stdout | tcpdump -nr -Если сделать
tcpdump -Unqi eth1 -s0 -w /dev/stdout -c 200 | cat >zz.pcap && file zz.pcapто результат
zz.pcap: pcap capture file, microsecond ts (little-endian) - version 2.4 (Ethernet, capture length 262144)PS Хорошо бы "-B 16384" добавить, чтоб потери были меньше и не забыть исключить трафик ssh иначе сеть будет перегружена.
"-n" tcpdump-у помогает не тормозить на резолвинге.
PPS
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )Исходная версия vel, :
Вроде у wireshark есть своя утиль для захвата трафика «tshark»
От версии к версии у tcpdump есть разница, да есть еще зависимость от версии libpcap.
У меня tcpdump понимает '-w -' дословно, т.е. пишет в файл '-'
Работает такая конструкция:
tcpdump -Unqi eth1 -s0 -w /dev/stdout | tcpdump -nr --Если сделать
tcpdump -Unqi eth1 -s0 -w /dev/stdout -c 200 | cat >zz.pcap && file zz.pcapто результат
zz.pcap: pcap capture file, microsecond ts (little-endian) - version 2.4 (Ethernet, capture length 262144)PS Хорошо бы "-B 16384" добавить, чтоб потери были меньше и не забыть исключить трафик ssh иначе сеть будет перегружена.
"-n" tcpdump-у помогает не тормозить на резолвинге.
PPS
wireshark -k -i <( ssh -l root IP-of-probe /usr/bin/tshark -i eth0 -w - port 53 )