问题标签 [tcpdump]

我们正在使用tcpdump()将数据包捕获到文件中。我需要编写一个程序来解析它，有谁知道我在哪里可以找到这个工具创建的转储文件的文件布局？

我有以下文件：test_network.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
我知道这个文件中的视频流很少。我如何提取它们？

[文件是~180 GB]

试图编译一个使用 pcap.h 的基本程序。我已经在我的 Mac OSX 机器上设置了环境，它使用 iPhone 3.1.3 SDK for iPhone 3GS。我还将 libpcap 安装到 ~/libpcap 中，因此我可以使用 -I 标志告诉 gcc 在哪里查找标头。但是，它会失败并显示 ld 警告，说明该文件不是所需的体系结构。

我正在编译以下行：

正在生成的错误是：

我现在假设我需要为 armv6 架构（iPhone）重新编译 libpcap，但检查 ./configure 选项并没有帮助。我已经尝试过用谷歌搜索，但那里几乎没有。

我编写了一个程序，将 TCP 数据包从本地主机发送到本地主机。我想使用 tcpdump 来捕获数据包。但什么都没有被捕获。我在 Ubuntu 中的命令：

我要补充什么论据？谢谢！

我正在阅读“Unix 网络编程”并 tcpdump 示例生成的数据包。该示例只是发送一个包含字符串“liha”的数据包。

我阅读了 TCP/IP RFC，发现正常的 IP 标头是 20B。正常的 TCP 标头除了数据是 24B。

因此，在捕获的数据包中，字符串“liha”之前有 8B。“0121 3d2a 0120 b43e”没用吗？

我正在使用 tcpdump 捕获 http 流量，并且对 TCP 慢启动以及窗口大小如何增加感兴趣：

当我使用 Wireshark 查看转储文件时，窗口大小的进展看起来很正常，即 5840、5888、5888、8576、11264 等...

但是当我通过查看转储文件时

我得到了似乎是无意义的窗口大小（为简洁起见省略了 IP 地址）：

有没有办法在命令行上获得正常/绝对窗口大小？

任何人都知道如何将 AIX 5.2/5.3 中 BPF 设备的数量增加到假定的系统默认值四个之上？即同时运行四个以上的tcpdump 进程？

我编写了一个简单的服务器和客户端应用程序，可以在 TCP、DCCP 和 UDP 协议之间切换。目标是将文件从一个文件传输到另一个文件并测量每个协议的流量，因此我可以针对不同的网络设置比较它们（我大致知道结果应该是什么，但我需要准确的数字/图表）。无论如何，在不同的计算机上启动这两个应用程序并启动 tcpdump 后，我只能从 4GB 文件中获取 tcpdump-log 的前几 MB（~50MB）。这些应用程序是用标准的 C/C++ 代码编写的，可以在网络上的任何地方找到。可能是什么问题或我在这里做错了什么？

--编辑

我使用的命令行是：

tcpdump仅在前 ~55 秒内捕获数据包。那是客户端需要将文件发送到套接字的时间。之后它停止，即使服务器继续接收文件并将其写入硬盘驱动器。

--编辑2

源代码：

client.cpp
server.cpp
common.hpp
common.cpp

--编辑最终

正如你们中的许多人所指出的（正如我所怀疑的），源代码中有几个误解/错误。在我清理它（或几乎重写它）之后，它可以根据需要与 tcpdump 一起使用。我会接受@Laurent Parenteau 的回答，但仅限于第 5 点。因为它与问题唯一相关。如果有人对正确的代码感兴趣，这里是：

源代码编辑

client.cpp
server.cpp
common.hpp
common.cpp

I am trying to use tcpdump to display the content of tcp packets flowing on my network. I have something like:

The -A option displays the content as ASCII text, but my text seems to be UTF-8. Is there a way to display UTF-8 properly using tcpdump? Do you know any other tools which could help?

Many thanks

我设置了一个 squid 代理服务器，我想在某些 HTTP POST 请求退出 squid 之前对其进行监控和修改。我有哪些选择？