使用すると、より詳細な出力が生成されますか?
tcpdump -vvv -w FILENAME
私が使用している場合:
tcpdump -w FILENAME
それとも「-w FILENAME」を使用するときに「-vvv」を使用すると意味がありませんか?
答え1
いいえ、マンページによるとそうは思いません。
-w Write the raw packets to file rather than parsing and printing
them out. They can later be printed with the -r option. Stan‐
dard output is used if file is ``-''.
- ノート"元のパケット"——
-v When parsing and printing, produce (slightly more) verbose out‐
put. [...]
When writing to a file with the -w option, report, every 10 sec‐
onds, the number of packets captured.
tcpdump -vvv -r FILENAME
したがって、構文解析を使用して作成された内容FILENAME
、つまり生のパケットを印刷するのが合理的です。
答え2
いいえ。
これを選択すると、-w FILENAME
リンクを通過するときに元のパケットが保存されます。文字通りあるいいえ詳細はファイルとして保存できます。-vvv
人のレビューのために表示する場合にのみ関連があります。人が出力を読むことを望むほとんどすべての場合には、次を使用することをお勧めします。ワイヤーシャーク。
答え3
-w
私が知る限り、モードでどれだけの詳細を得ることができるかに影響を与える唯一のフラグはです-s
。
歴史的に、tcpdump
システムのI / O負荷を減らすために、デフォルトではパケットあたり68バイトしかキャプチャされていません。 Web接続を聞いている場合は、イーサネット、IP、およびTCPヘッダーを取得するのに十分ですが、HTTPヘッダーがほとんどまたはまったくない可能性があります。
tcpdump
このように構築する場合は、より大きな「snaplen」を渡すと-s
問題なく動作する可能性があり、システムに過負荷がかかる可能性があります。これは、CPU、ディスク、およびネットワーク接続速度とtcpdump
キャプチャし、1秒あたりのディスクへの書き込みに必要なデータ量によって異なります。
イーサネットの場合は、-s 1514
パケット全体を一般的な設定でキャプチャする必要があります。または、-s 0
フルパケットキャプチャ(サイズに関係なく)を使用できます。これは、VLANまたはジャンボフレームを使用する場合に便利です。
キャプチャファイルをWireshark(または同様のもの)にロードして通過しながら詳細を確認すると、-s bignum
その理由がわかります。変更がない場合、お使いのデバイスはtcpdump
おそらくパケット全体をキャプチャするように設計されています。