tcpdumpで "-w FILENAME"で "-vvv"を使用すると、より良い出力が生成されますか?

tcpdumpで "-w FILENAME"で "-vvv"を使用すると、より良い出力が生成されますか?

使用すると、より詳細な出力が生成されますか?

tcpdump -vvv -w FILENAME

私が使用している場合:

tcpdump -w FILENAME

それとも「-w FILENAME」を使用するときに「-vvv」を使用すると意味がありませんか?

答え1

いいえ、マンページによるとそうは思いません。

   -w     Write the raw packets to file rather than parsing  and  printing
          them  out.  They can later be printed with the -r option.  Stan‐
          dard output is used if file is ``-''.

- ノート"元のパケット"——

   -v     When  parsing and printing, produce (slightly more) verbose out‐
          put.  [...]
          When writing to a file with the -w option, report, every 10 sec‐
          onds, the number of packets captured.

tcpdump -vvv -r FILENAMEしたがって、構文解析を使用して作成された内容FILENAME、つまり生のパケットを印刷するのが合理的です。

答え2

いいえ。

これを選択すると、-w FILENAMEリンクを通過するときに元のパケットが保存されます。文字通りあるいいえ詳細はファイルとして保存できます。-vvv人のレビューのために表示する場合にのみ関連があります。人が出力を読むことを望むほとんどすべての場合には、次を使用することをお勧めします。ワイヤーシャーク

答え3

-w私が知る限り、モードでどれだけの詳細を得ることができるかに影響を与える唯一のフラグはです-s

歴史的に、tcpdumpシステムのI / O負荷を減らすために、デフォルトではパケットあたり68バイトしかキャプチャされていません。 Web接続を聞いている場合は、イーサネット、IP、およびTCPヘッダーを取得するのに十分ですが、HTTPヘッダーがほとんどまたはまったくない可能性があります。

tcpdumpこのように構築する場合は、より大きな「snaplen」を渡すと-s問題なく動作する可能性があり、システムに過負荷がかかる可能性があります。これは、CPU、ディスク、およびネットワーク接続速度とtcpdumpキャプチャし、1秒あたりのディスクへの書き込みに必要なデータ量によって異なります。

イーサネットの場合は、-s 1514パケット全体を一般的な設定でキャプチャする必要があります。または、-s 0フルパケットキャプチャ(サイズに関係なく)を使用できます。これは、VLANまたはジャンボフレームを使用する場合に便利です。

キャプチャファイルをWireshark(または同様のもの)にロードして通過しながら詳細を確認すると、-s bignumその理由がわかります。変更がない場合、お使いのデバイスはtcpdumpおそらくパケット全体をキャプチャするように設計されています。

関連情報