tcpdump problem

zorn · Beitrag von **zorn** » 09.05.2005 18:44:19

wollte ein bischen mein netzwerk analysieren, und habe prächtige erfahrungen mit ethereal. jedenfalls gestaltet sich das etwas kompliziert auf remote rechnern, wollte daher tcpdump ausprobieren. mit der option -w schreibe ich das dumpfile, -r wird es gelesen. allerdings: kann es sein dass tcpdump nur die header schreibt, nicht die daten des packets an sich? jedenfalls kann ich keine daten in dem dumpfile finden.

tips?

fuzzy · Beitrag von **fuzzy** » 09.05.2005 18:59:08

Hallo Zorn,
meinst Du soetwas?

Code: Alles auswählen

sid:/tmp# tcpdump -aenvvvx -X -i eth0 -w /tmp/test.txt

und dann ansehen mit

Code: Alles auswählen

sid:/tmp# tcpdump -aenvvvx -X -i eth0 -r /tmp/test.txt

...oder jeweils mit weniger Optionen

Gruß fuzzy

pdreker · Beitrag von **pdreker** » 09.05.2005 19:40:52

tcpdump schreibt per Default nur die ersten 40 Bytes jedes Pakets (IP Header, TCP/UDP Header, und ein paar Bytes Payload) in den Dump.

ändern kann man das mit der -s Option (snaplen). Wenn man diese mit "-s 0" auf 0 setzt wird alles gedumped.

Patrick

fuzzy · Beitrag von **fuzzy** » 09.05.2005 20:15:21

klasse pdreker,
die "-s 0" Option kannte ich noch nicht

Gruß fuzzy

zorn · Beitrag von **zorn** » 09.05.2005 21:02:44

Super - danke! Hatte die man page gelesen, aber irgendwie wurde mir das aus dem -s absatz wohl nicht klar. vor allem ist der "0" wert nicht erklärt.

super - vielen dank!