LINUX.ORG.RU

tcpdump: pcap_loop: bogus savefile header

 


0

1

Пишу трафик так:

tcpdump -i eth1 -s0 -C 1000 -w file.pcap
Затем когда выполняю:
tcpdump -s0 -r file.pcap
получаю:
tcpdump: pcap_loop: bogus savefile header
По факту выглядит так как будто файл поврежден - длина ip пакета больше 65535
Мне требуется проанализировать дамп. Может кто подскажет, как восстанавливать такие файлы и по какой причине такое может происходить?
Спасибо.


Ответ на: комментарий от zolden

нет, нет такой возможности, только консоль

delen
() автор топика
Ответ на: комментарий от zolden

думаю инструмент не причем, в сети действительно много битых пакетов, вопрос в том, что делать, может быть какие-то инструменты для восстановления таких файлов

delen
() автор топика
Ответ на: комментарий от delen

судя по ошибке, проблема в libpcap, но если бы можно было использовать Wireshark, была бы ненулевая вероятность что команда Wireshark этим бы заинтересовалась и они поправили бы это у себя - я заводил им тикеты в багтрекере много раз, фиксят довольно оперативно.
Что касается исправления уже готового дампа, гугл выдаёт кое-что

zolden ★★★★★
()
Ответ на: комментарий от zolden

вы исключаете вероятность, что пакет действительно может быть поврежден - то есть поврежденные пакеты отбрасываются до захвата? в мой голове это представляется иначе, так что сначала идет захват.

delen
() автор топика

я так понимаю libpcap будет считывать на канальном уровне

delen
() автор топика
Ответ на: комментарий от zolden

виндовый editcap не помог, завтра попробую в никсах

delen
() автор топика
Ответ на: комментарий от delen

Я так думаю, что раз пакет не дропнулся раньше libpcap, то он относительно корректный, и дальше проблема именно libpcap.
С Wireshark у меня был относительно подобный случай - на определённом дампе он постоянно крашился. Пофиксили за день буквально.

zolden ★★★★★
()

tcprewrite справляется с файлом, однако в моем случае количество пакетов на выходе на порядок ниже, что делает приложенные усилия безполезными

delen
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.