Комментарии 5
Добавлю про опцию "-X". При ее использовании включается так называемый немедленный режим. В этом режиме будут «проглатываться» некоторые пакеты, т.е. не будут отображаться. Однако этот режим включается только в режиме прослушивания сетевого интерфейса, если смотреть таким образом дамп трафика, то все будет ОК. Для выключения этого поведения я написал патч, добавляющий опцию "--disable-immediate-mode". При включении этой опции при прослушки трафика в реальном времени (например: tcpdump -Xnti eth0 --disable-immediate-mode) будут отображены абсолютно все пакеты.
Патч можно забрать отсюда: raw.githubusercontent.com/0x501D/gentoo-patches/master/net-analyzer/tcpdump/tcpdump_disable_immediate_for_stdout.patch
Патч можно забрать отсюда: raw.githubusercontent.com/0x501D/gentoo-patches/master/net-analyzer/tcpdump/tcpdump_disable_immediate_for_stdout.patch
Ну, это в режиме «надо срочно посмотреть что там ходит».
Для вдумчивого неторопливого раскуривания траффика и причин того что скажем от a до б скорость копирования нормальная, а от б до a — копирование с дичашими тормозами надо уже будет сказать
tcpdump -i any -w file и потом ковырять его wireshark'ом. Оно удобней.
Для вдумчивого неторопливого раскуривания траффика и причин того что скажем от a до б скорость копирования нормальная, а от б до a — копирование с дичашими тормозами надо уже будет сказать
tcpdump -i any -w file и потом ковырять его wireshark'ом. Оно удобней.
Для "срочно посмотреть" все равно лучше использовать tshark или, если данных мало, отправлять данные с удаленного tcpdump в локальный wireshark. Функционал tcpdump довольно ограниченный даже для сбора дампа (фильтры превращаются в адъ, лимитов для дампа недостаточно), смысла его использовать я особо не вижу.
Поправьте ошибку. В данной команде исправьте -w на -r
Прочитать этот файл можно с помощью опции -r
# tcpdump -i eth1 -c 10 -w icmp.pcap
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Используем tcpdump для анализа и перехвата сетевого трафика