问题标签 [tcpdump]

是否有一个快速的 tcpdump 单行​​程序可以打印出与特定子字符串匹配的 TCP 流——或者，如果这并不容易，那么只打印出与子字符串匹配的单个 TCP数据包怎么样？

如何拼接两个tcpdump文件，让一个流量一个接一个地出现在文件中？具体来说，我想“倍增”一个 tcpdump 文件，以便所有会话将依次重复几次。

我正在尝试使用 libpcap 解析大型 pcap 文件，但存在文件限制，因此我的文件以 2gb 分隔。我有 10 个 2gb 的文件，我想一次性解析它们。是否有可能在接口上按顺序（每个文件分别）提供这些数据，以便 libpcap 可以在同一次运行中解析它们？

我正在尝试调试应用程序，但它不是一个方便运行 WireShark 的地方。

我一直在使用“tcpdump -nn -x -X port 25”，但输出并不是最方便的格式。想法？

我正在尝试找到一种使用 tcpdump 读取多个端口的方法。假设我有两个端口 p1 和 p2，我想同时读取通过这两个端口的流量。有什么方法可以使用 tcpdump 或者我必须使用其他工具吗？

基本上我正在运行一个在某个端口上运行的代理服务器。我想读取通过此端口的流量以及通过端口 80（HTTP）的流量。

我正在运行一个运行 2.6.9-55.ELsmp、x86_64 的 Linux 机器。

我正在尝试通过使用 C 的 setsockopt() 函数来设置 TCP 接收窗口。我尝试以下操作：

上面的代码段位于从服务器接收数据的客户端程序中。当我启动程序以接收和观察 tcpdump 输出时，我观察到窗口协商，如下所示：

我们看到客户端程序实际上正在协商一个与我在客户端程序中设置的窗口不同的窗口。但是，从我如何解释 Steven 的文本（“TCP/IP Illustrated, Volume 1”）第 20.4 节来看，我相信您使用我使用的 setsockopt() 调用影响了他在第 20.4 节的第二个块引用中所指的内容（见上文）。

我想了解我哪里出错了。

也许我对史蒂文斯所说的解释是不正确的。在这种情况下，您能否指出设置接收缓冲区大小的正确方法？为了证明我的困惑，我参考了http://linux.die.net/man/7/tcp上的 Linux TCP 套接字手册页（请参阅对 SO_RCFBUF 的评论）。

我在这个故事中缺少什么？如何控制接收缓冲区大小（并让它显示在 tcpdump 输出中）？请注意，我在这里提到了套接字选项 SO_RCFBUF 的设置——我知道这就是 SYN 的窗口协商中显示的内容。

任何输入表示赞赏。

对于几年前的计算机科学信息战课程，我编写了一个 Python 脚本，该脚本在 libpcap 混杂数据包捕获文件上运行以解析 facebook 聊天流量（以明文形式传递的 earlang 元组），并认为一个有趣的项目是移植该程序到安卓。

我想用 Java 重写它，但无法直接在手机上找到有关数据包捕获的任何信息。

我检查了 tcpdump 手册页，并认为我理解了那里提供的示例。但是我得到的是我无法完全理解的东西。

原创：模拟器输出

这是我的理解：

也许我错过了一些太明显的东西。有人可以指出吗？

编辑 1：模拟器输出（grepped 一个连接信息）

问题： ACK 似乎仍然不同。它是 5981 而不是 2683。

编辑 2：真正的 TCP 输出

问题：我按照您的建议尝试了一个连接的输出。但是这一次，为什么是 ACK 而不是 SEQ+1 呢？

我正在尝试从我的网络上的两个设备捕获数据包。

我在我的 dd-wrt ​​路由器上安装了 tcpdump 并且工作正常。

但是，当使用仅说明这两个设备的 tcpdump 语句时，我捕获的唯一数据包是广播数据包

我在接口 br0 上捕获。那是对的吗？

两个设备都直接插入端口 1 和 2，IP 地址分别为 192.168.3.105 和 192.168.3.136。

我需要将 br0 设置为混杂模式吗？

有点卡住。谢谢。

是否有任何轻量级工具可以过滤和输出人类可读形式的 http 标头/响应？像wireshark之​​类的东西。我试过 tcpdump；但很难阅读。