2
我正在運行tcpdump來捕獲特定端口上的UDP消息。被捕獲的UDP流量包含零碎的UDP數據包。當UDP消息可以被分段時使用tcpdump捕獲特定的端口
當遇到分段的UDP數據包時,tcpdump只捕獲第一個片段。 (可能因爲只有第一個片段包含端口信息)。
是否有TCP傾倒開關,將捕獲正被過濾從端口消息,即使在一個UDP數據包的所有片段?
我正在運行tcpdump來捕獲特定端口上的UDP消息。被捕獲的UDP流量包含零碎的UDP數據包。當UDP消息可以被分段時使用tcpdump捕獲特定的端口
當遇到分段的UDP數據包時,tcpdump只捕獲第一個片段。 (可能因爲只有第一個片段包含端口信息)。
是否有TCP傾倒開關,將捕獲正被過濾從端口消息,即使在一個UDP數據包的所有片段?
我可能是錯的,但我認爲你的意思是如何擴展爲的Snaplen你只抓住使用tcpdump包的片段。默認的snaplen通常是68個字節。
設置已到的Snaplen 0套它的65535個字節的默認值,以便運行帶有「-s 0」 tcpdump的捕捉一切。你正在用'-s'開關跑嗎?
我們建議您限制到的Snaplen,將捕獲你感興趣的協議信息的最小數目。
HTH!
我認爲你需要在你的過濾器中添加一個子句來捕獲所有分段的IP數據包,然後使用像wireshark這樣的工具來爲你重新組裝IP數據包 – rupello
你想用重組的UDP流完成什麼? ? – mavam