Question

我希望能够从tcpdump看到一个非常简单的输出通常它看起来像这样

12:17:35.906478 IP 192.168.1.149.22 > 192.168.1.2.51545: Flags [P.], seq 333440:333604, ack 2809, win 262, length 164
12:17:35.906493 IP 192.168.1.149.22 > 192.168.1.2.51545: Flags [P.], seq 333604:333768, ack 2809, win 262, length 164
12:17:35.906514 IP 192.168.1.149.22 > 192.168.1.2.51545: Flags [P.], seq 333768:333932, ack 2809, win 262, length 164
12:17:35.906537 IP 192.168.1.149.22 > 192.168.1.2.51545: Flags [P.], seq 333932:334096, ack 2809, win 262, length 164
12:17:35.906560 IP 192.168.1.149.22 > 192.168.1.2.51545: Flags [P.], seq 334096:334260, ack 2809, win 262, length 164

如何获得这样的东西

IP 192.168.1.149.22 > 192.168.1.2.51545
IP 192.168.1.149.22 > 192.168.1.2.51545
IP 192.168.1.149.22 > 192.168.1.2.51545
IP 192.168.1.149.22 > 192.168.1.2.51545
IP 192.168.1.149.22 > 192.168.1.2.51545

注意：上面只是一个例子。我实际上是UDP

Answer 1

我认为你无法通过tcpdump实现这一目标（它提供了-q选项，但这并不能让你在那里）;但是，如果您愿意/能够使用除tcpdump之外的其他工具，例如tshark，那么您就可以实现此目标。

例如：

tshark -o 'gui.column.format:"Protocol","%p","Source","%s","Destination","%d"' ...

（运行tshark -G column-formats以获取有关列的更多帮助。）

...或者也许：

tshark -T fields -e _ws.col.Protocol -e ip.src -e ip.dst ...

TCPDump输出，没有时间戳，仅限IP和端口

1 个答案: