如何停止tcpdump从截断http有效负载?

时间:2018-09-03 15:40:32

标签: http dump tcpdump truncated

我正在尝试进行捕获,并且看到一半的'[!http]'负载。有没有办法让它显示整个有效载荷?

我正在执行REST调用,想查看服务器接收的内容:

                  <value>0x100000</value>
                </attribute>
              </greater-than-or-equals>
              <less-than-or-equals>
                <attribute id="0x129fa">
                 [!http]
    16:34:06.549662 IP (tos 0x0, ttl 255, id 49564, offset 0, flags [DF], proto TCP (6), length 1301)

我正在使用:

tcpdump -vvv -i ens192 tcp port 8080 and src 192.168.1.1

任何帮助将不胜感激。

非常感谢

坦率

1 个答案:

答案 0 :(得分:1)

问题很可能与您捕获的内容无关,而与有效载荷大于单个数据包有关。

这些天,当您运行tcpdump时,默认值是捕获长度与接口的MTU匹配的数据包(至少)。如果不确定,可以通过指定捕获长度为零来覆盖它:

 tcpdump -s 0 -w captureFile.cap

再次,这可能不是这里的问题。其余数据更有可能位于下一个TCP段中。不幸的是,tcpdump不是提取会话数据的理想工具。我建议您看一下Wireshark(或tshark),它使您可以轻松地选择一个数据包,然后重组数据流,并删除所有IP和TCP标头。