6 votes

Olivier Lasne avatar

Comment puis-je voir les paquets pendant la capture avec tcpdump ?

Demandé el 28 de Mars, 2019
Quand la question a-t-elle été
4870 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Comment puis-je voir le trafic pendant que je le capture avec tcpdump.

Lorsque j'utilise -w, il ne montre pas les paquets pendant la capture.

sudo tcpdump -i enp2s0 -w test.pcap
tcpdump: listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
^C6 packets captured
7 packets received by filter
0 packets dropped by kernel
Demandé el 28 de Mars, 2019 par Olivier Lasne

Réponses

Trop de publicités?

12voto

Olivier Lasne avatar
Olivier Lasne Points 211

Après quelques expériences, la réponse est la suivante :

sudo tcpdump -i enp2s0 -U -w - | tee test.pcap | tcpdump -r -

-w - : écrire sur la sortie standard.

-U : écrivez les paquets dès qu'ils arrivent. N'attendez pas que la mémoire tampon soit pleine.

Tee écrira dans le fichier, et tcpdump -r - lire les paquets depuis l'entrée standard.

Répondu el 28 de Mars, 2019 par Olivier Lasne (211 Points )

1 votes

Avatar de Andy Gyawali

Une utilisation impressionnante du Tee

Commenté el 14 de Juillet, 2020 par Andy Gyawali

2voto

Dave avatar
Dave Points 11

-w est d'écrire la sortie de tcpdump dans un fichier. Vous pouvez enlever cette option si vous voulez imprimer sur votre terminal.

Répondu el 28 de Mars, 2019 par Dave (11 Points )

2voto

OliviervdAkker avatar
OliviervdAkker Points 55

Puisque vous utilisez l'option -w, les paquets sont enregistrés dans le fichier et ne sont pas affichés sur la sortie standard. Voici un extrait de la page de manuel de tcpdumup :

https://www.tcpdump.org/manpages/tcpdump.1.html

-w file
    Write the raw packets to file rather than parsing and printing them out. They can later be printed with the -r option. Standard output is used if file is ``-''. 
    This output will be buffered if written to a file or pipe, so a program reading from the file or pipe may not see packets for an arbitrary amount of time after they are received. Use the -U flag to cause packets to be written as soon as they are received. 
    The MIME type application/vnd.tcpdump.pcap has been registered with IANA for pcap files. The filename extension .pcap appears to be the most commonly used along with .cap and .dmp. Tcpdump itself doesn't check the extension when reading capture files and doesn't add an extension when writing them (it uses magic numbers in the file header instead). However, many operating systems and applications will use the extension if it is present and adding one (e.g. .pcap) is recommended. 
    See pcap-savefile(5) for a description of the file format.

Si vous voulez faire les deux en même temps, voici un moyen d'y parvenir :

Comment puis-je faire en sorte que tcpdump écrive dans un fichier et en sortie standard les données appropriées ?

Répondu el 28 de Mars, 2019 par OliviervdAkker (55 Points )

2voto

kernelkode avatar
kernelkode Points 21

Pour attacher un nouveau processus à une décharge en cours, essayez :

tail -F -n+0 $dumpfile | tcpdump -r -

Répondu el 24 de Janvier, 2021 par kernelkode (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X