사용하면 더 자세한 출력이 생성됩니까?
tcpdump -vvv -w FILENAME
내가 사용하는 경우 :
tcpdump -w FILENAME
아니면 "-w FILENAME"을 사용할 때 "-vvv"를 사용하면 의미가 없습니까?
답변1
아니요, 맨페이지에 따르면 그렇게 생각하지 않습니다.
-w Write the raw packets to file rather than parsing and printing
them out. They can later be printed with the -r option. Stan‐
dard output is used if file is ``-''.
- 노트"원래 패킷"——
-v When parsing and printing, produce (slightly more) verbose out‐
put. [...]
When writing to a file with the -w option, report, every 10 sec‐
onds, the number of packets captured.
tcpdump -vvv -r FILENAME
따라서 구문 분석을 사용하여 작성된 내용 FILENAME
, 즉 원시 패킷을 인쇄하는 것이 합리적입니다 .
답변2
아니요.
이를 선택하면 -w FILENAME
링크를 통과할 때 원본 패킷이 저장됩니다. 말 그대로 있다아니요자세한 내용은 파일로 저장할 수 있습니다. -vvv
사람의 검토를 위해 표시하는 경우에만 관련이 있습니다. 사람이 출력을 읽기를 원하는 거의 모든 경우에 다음을 사용하는 것이 좋습니다.와이어샤크.
답변3
-w
내가 아는 한, 모드에서 얼마나 많은 세부 정보를 얻을 수 있는지에 영향을 미치는 유일한 플래그는 입니다 -s
.
역사적으로 tcpdump
시스템의 I/O 로드를 줄이기 위해 기본적으로 패킷당 68바이트만 캡처되었습니다. 웹 연결을 듣고 있는 경우 이더넷, IP 및 TCP 헤더를 얻는 데 충분하지만 HTTP 헤더가 거의 또는 전혀 없을 수 있습니다.
tcpdump
이런 방식으로 구축하는 경우 더 큰 "snaplen"을 전달하면 -s
문제 없이 작동할 수도 있고 시스템에 과부하가 걸릴 수도 있습니다. 이는 CPU, 디스크 및 네트워크 연결 속도와 tcpdump
캡처하고 초당 디스크에 쓰는 데 필요한 데이터 양에 따라 달라집니다.
이더넷의 경우 -s 1514
전체 패킷이 일반적인 구성으로 캡처되어야 합니다. 또는 -s 0
전체 패킷 캡처(크기에 관계없이)를 사용할 수 있으며 이는 VLAN 또는 점보 프레임을 사용할 때 유용할 수 있습니다.
캡처 파일을 Wireshark(또는 이와 유사한 것)에 로드하고 통과하면서 자세한 내용을 확인하면 -s bignum
이제 그 이유를 알 수 있습니다. 아무런 변화가 없다면 귀하의 장치는 tcpdump
아마도 전체 패킷을 캡처하도록 제작되었을 것입니다.