tcpdump와 함께 "-w FILENAME"과 함께 "-vvv"를 사용하면 더 나은 출력이 생성됩니까?

tcpdump와 함께 "-w FILENAME"과 함께 "-vvv"를 사용하면 더 나은 출력이 생성됩니까?

사용하면 더 자세한 출력이 생성됩니까?

tcpdump -vvv -w FILENAME

내가 사용하는 경우 :

tcpdump -w FILENAME

아니면 "-w FILENAME"을 사용할 때 "-vvv"를 사용하면 의미가 없습니까?

답변1

아니요, 맨페이지에 따르면 그렇게 생각하지 않습니다.

   -w     Write the raw packets to file rather than parsing  and  printing
          them  out.  They can later be printed with the -r option.  Stan‐
          dard output is used if file is ``-''.

- 노트"원래 패킷"——

   -v     When  parsing and printing, produce (slightly more) verbose out‐
          put.  [...]
          When writing to a file with the -w option, report, every 10 sec‐
          onds, the number of packets captured.

tcpdump -vvv -r FILENAME따라서 구문 분석을 사용하여 작성된 내용 FILENAME, 즉 원시 패킷을 인쇄하는 것이 합리적입니다 .

답변2

아니요.

이를 선택하면 -w FILENAME링크를 통과할 때 원본 패킷이 저장됩니다. 말 그대로 있다아니요자세한 내용은 파일로 저장할 수 있습니다. -vvv사람의 검토를 위해 표시하는 경우에만 관련이 있습니다. 사람이 출력을 읽기를 원하는 거의 모든 경우에 다음을 사용하는 것이 좋습니다.와이어샤크.

답변3

-w내가 아는 한, 모드에서 얼마나 많은 세부 정보를 얻을 수 있는지에 영향을 미치는 유일한 플래그는 입니다 -s.

역사적으로 tcpdump시스템의 I/O 로드를 줄이기 위해 기본적으로 패킷당 68바이트만 캡처되었습니다. 웹 연결을 듣고 있는 경우 이더넷, IP 및 TCP 헤더를 얻는 데 충분하지만 HTTP 헤더가 거의 또는 전혀 없을 수 있습니다.

tcpdump이런 방식으로 구축하는 경우 더 큰 "snaplen"을 전달하면 -s문제 없이 작동할 수도 있고 시스템에 과부하가 걸릴 수도 있습니다. 이는 CPU, 디스크 및 네트워크 연결 속도와 tcpdump캡처하고 초당 디스크에 쓰는 데 필요한 데이터 양에 따라 달라집니다.

이더넷의 경우 -s 1514전체 패킷이 일반적인 구성으로 캡처되어야 합니다. 또는 -s 0전체 패킷 캡처(크기에 관계없이)를 사용할 수 있으며 이는 VLAN 또는 점보 프레임을 사용할 때 유용할 수 있습니다.

캡처 파일을 Wireshark(또는 이와 유사한 것)에 로드하고 통과하면서 자세한 내용을 확인하면 -s bignum이제 그 이유를 알 수 있습니다. 아무런 변화가 없다면 귀하의 장치는 tcpdump아마도 전체 패킷을 캡처하도록 제작되었을 것입니다.

관련 정보