utiliser "-vvv" avec "-w FILENAME" avec tcpdump rend une meilleure sortie?

Est-ce que cela rend une sortie plus détaillée si j'utilise

tcpdump -vvv -w FILENAME 

vs si j'utilise:

 tcpdump -w FILENAME 

ou cela n'a aucun sens si j'utilise le "-vvv" quand j'utilise "-w FILENAME"?

Non, je ne pense pas, à partir de la page de manuel:

  -w Write the raw packets to file rather than parsing and printing them out. They can later be printed with the -r option. Stan‐ dard output is used if file is ``-''. 

– noter " packages bruts " –

  -v When parsing and printing, produce (slightly more) verbose out‐ put. [...] When writing to a file with the -w option, report, every 10 sec‐ onds, the number of packets captured. 

Donc, ce qui serait logique est d'utiliser tcpdump -vvv -r FILENAME pour parsingr et imprimer ce qui a été écrit dans FILENAME – les packages bruts.

Non.

Une fois que vous choisissez -w FILENAME il enregistre les packages de données bruts à mesure qu'ils passent par le lien. Il n'y a littéralement pas plus de détails qu'il peut save dans le file. -vvv est seulement pertinent lorsque vous l'affichez pour un examen humain … Et dans presque tous les cas où vous voulez que les humains lisent la sortie, je vous recommand d'utiliser Wireshark .

Le seul drapeau dont je suis conscient affecte le niveau de détail que vous obtenez en mode -w est -s .

Historiquement, tcpdump été conçu pour ne capturer que 68 octets par package, afin de réduire la charge d'E / S sur le système. Si vous surfez sur une connection Web, cela suffit pour get les en-têtes Ethernet, IP et TCP, mais probablement peu ou pas des en-têtes HTTP.

Si votre tcpdump été construit de cette façon, passer un "snaplen" plus grand avec -s peut fonctionner correctement, ou il peut surcharger votre système. Cela dépend de la vitesse de connection de votre processeur, de votre disque et de votre réseau et de la quantité de données par seconde que vous requestz à tcpdump de capturer et d'écrire sur le disque.

Pour Ethernet, -s 1514 devrait capturer des packages entiers dans des configurations typiques. Vous pouvez également utiliser -s 0 pour capturer l'intégralité du package indépendamment de sa taille, ce qui peut être utile si des VLAN ou des trames Jumbo sont utilisées.

Si vous chargez un file de capture dans Wireshark (ou similaire) et que vous voyez plus de détails en passant -s bignum , vous savez maintenant pourquoi. Si rien ne change, votre tcpdump a probablement été construit pour capturer les packages complets.