问题标签 [tcpdump]

我必须编写一个脚本，在其中“同时”在我的机器和远程机器上进行 tcpdump。那就是捕获的开始（第 0 秒）应该是同时的，这样我就可以在我的分析中比较两个 tcpdump。

有没有办法可以做到这一点？

这是一个很长的故事，但我正试图从尖尖的头发老板那里拯救一个内部网站，他们不再认为它有任何价值，并且会在未来的某个时候轻弹开关。我觉得所包含的信息很重要，后代会想要使用它。不，这不是一些成人网站，但由于它是一些大公司，我不能再说什么了。

问题是，该网站是一堆 ASP 和 Flash，只能在 IE7 下运行，甚至在 IE8 和 32 位下也有问题。所有的 url 都是会话风格的，而且都是胡言乱语。Flash 对象本身通过 GET 请求向 ASP 对象提取额外信息。它的设计非常糟糕。:)

所以我的想法是在浏览整个站点时进行 tcpdump。然后以某种方式将每个 GET 的结果转储到 sql 数据库中。然后稍微弄乱主机文件，将每个请求重定向到某个 cgi 脚本，该脚本将在数据库中查找匹配的 get 请求并返回数据。因此，整个站点将位于 URL/Data 密钥对中的 SQL 数据库中。平面文件也可以工作。

理论上，我认为这是解决这个问题的唯一方法。我看到的唯一问题是他们是否做了一些客户端 ActiveX/Flash 的东西，这些东西会生成每次都会不同的会话 URL。

无论如何，我知道 Perl，而且有了正确的模块，这个想法似乎很简单，所以我认为我可以完成大部分工作，但在开始之前我对任何其他想法持开放态度。也许这已经存在？

感谢您的任何意见。

我正在寻找在 openwrt 上运行的 tcpdump 二进制文件。该网站仅显示必须构建的源代码。有人将我指向包含预构建二进制文件的位置吗？谢谢。

全部：

我对 MTU 设置并不陌生，我想知道如何处理通过 TCP/UDP 看到的碎片（我们通过 Android 应用程序通过蜂窝网络发送数据包）。

我们看到很多数据包碎片从安卓设备发送到服务器。我想获得有关该主题的更多信息：

1. 什么是 MTU？
2. 我们可以使用哪些工具来查看或验证数据包碎片（Wireshark、tcpdump 等）？
3. 我们如何在 Android 设备上使用 ping/traceroute 等标准工具（这有用吗）？

提前致谢

我正在尝试监视 Android 设备上特定应用程序的网络活动。在我试图监控的应用程序中，我正在与远程运行的 HTTP 服务器进行通信。查询服务器的方式显然不同，我正在尝试收集有关这些不同类型查询的统计信息（数据包的往返时间等）。

经过一番研究，我决定试一试 tcpdump。我正在尝试使用 -A 选项查看数据包的内容；我想在吐出数据包的内容后，我可以从数据包正文中解析查询类型并根据类型对它们进行排序。但是，似乎使用 -A 选项只会给我一堆垃圾。我是否误解了 -A 选项的实际作用？根据这里的示例http://code.google.com/apis/gdata/articles/wireshark.html，我应该看到一些人类可读的输出形式。

经过一些研究，我发现被吐出的垃圾可能只是压缩数据。如果是这种情况，是否可以解压？

如果我听起来很天真，请原谅我，我对这些东西比较陌生。任何帮助将不胜感激。谢谢！

我有一些用 tcpdump 收集的大型 pcap（数据包捕获）文件。我想过滤掉包含特定字符串的数据包。我希望我的输出仍然是 pcap 格式。我发现了几种仅显示与 pcap 文件中的正则表达式匹配的数据包的方法，但我需要的是过滤此类文件，而不是过滤掉数据包的显示（例如标准输出）。输出需要是删除匹配数据包的 pcap 文件。

我怀疑 dpkt （一个 python 模块）可能会有所帮助，但如果可能的话，我更愿意使用现有的（C/C++）工具来做到这一点。我会接受代码作为答案（也许一个带有基准的好的 dpkt 示例会说服我也这样做；-)）。

提前致谢！

回答：

根据 Nim 的回答，可以通过 Wireshark/tshark 做到这一点。对于其他人的参考，这是一个示例命令行，我在其中检查 udp 数据包中的字符串匹配（可以构建此示例以执行 tcp 或特定协议字段搜索）：

再次感谢！

我正在尝试识别我正在接收的数据包的以太类型。以太类型 ID 为 608，在 Ethertype.h(libpcap 1.2.1) 中没有对应的定义。大多数接收到的数据包的类型为 8，在 Ethertype.h 中也没有相应的定义。有没有人知道这背后的原因是什么，或者我应该联系 TCPDump 并提供错误报告。

我一直在尝试根据数据包长度过滤 tcpdump 输出。但我没有运气。

这是命令的简单输出；

tcpdump -n -i eth0 dst 端口 443 -A

我只想查看长度超过 100 字节的包。对于这种情况，只有第 3 个数据包。

选项 [nop,nop,TS val 7028787 ecr 974439509]，长度 171

我查看了 tcpdump 的手册页，但找不到任何有用的参数。这里提到了一个表达“更大的长度”；http://www.ethereal.com/docs/man-pages/tcpdump.8.html但我也不能使用那个表达式。

谢谢你的帮助。

我正在编写一个在新的Redhat Enterprise Linux 6 服务器上接收多播数据的应用程序。支持团队给了我一个应用程序，用于测试服务器是否可以获取多播数据流。

一旦我启动测试应用程序，并且 tcpdump 也在运行，我可以看到多播数据进入，例如，

但是应用程序无法拾取任何数据流，即应用程序运行时就好像多播数据订阅不成功一样。

支持团队向我保证测试应用程序没有问题，因为它在其他服务器上运行良好。由于我有一个新服务器，因此服务器上的某些设置可能不正确。

我想知道我应该寻找哪些 Linux 设置可能会阻止应用程序接收多播数据，即使认为 tcpdump 可以看到数据。缺少库或包？

谢谢。

我想知道如何使用 Perl 从服务器获取第一个接收数据包的大小。我从 NET::PCAP 的不同示例中下载了一些简单的代码。但我不知道如何从中获取第一个数据包的大小。

非常感谢任何帮助或良好的链接。

谢谢，