unsorted ~ tcpdump и анализ трафика

Возраст: 37 C нами с 03.04.2006 Репутация: **73.7**

Вопрос вот в чем, tcpdump по умолчанию сохраняет пакеты полностью, если нет то собственно как сделать чтобы полностью? а то открываю дамп в wireshark смотрю содержимое пакетов, и складываеться такое ощушение что там чего-то нехватает... да и какие анализаторы трафика по лучше по вашему мнению?

Возраст: 41 C нами с 20.09.2004 Репутация: **177.5**

если нужно смотреть именно содержимое пакетов, попробуй tcpflow

Возраст: 36 C нами с 08.01.2006 Репутация: **128.1**

tcpdump -vvv

Возраст: 44 C нами с 05.04.2005 Репутация: **121.2**

-s     Snarf snaplen bytes of data from each packet rather than the default of 68 (with SunOS’s NIT,  the  minimum
              is actually 96).  68 bytes is adequate for IP, ICMP, TCP and UDP but may truncate protocol information from
              name server and NFS packets (see below).  Packets truncated because of a limited snapshot are indicated  in
              the  output  with  ‘‘[|proto]’’,  where proto is the name of the protocol level at which the truncation has
              occurred.  Note that taking larger snapshots both increases the amount of time it takes to process  packets
              and, effectively, decreases the amount of packet buffering.  This may cause packets to be lost.  You should
              limit snaplen to the smallest number that will capture the protocol information you’re interested in.  Set‐
              ting snaplen to 0 means use the required length to catch whole packets.

по умолчанию tcpdump сохраняет только первые "the default of 68" байт пакета, что бы он сохранял пакеты целиком нужно указывать -s 0 типа:

tcpdump -s 0 -ni eth0

Возраст: 37 C нами с 03.04.2006 Репутация: **73.7**

спасибо, в следующий раз буду внимательней читать man:)