我一直在尝试根据数据包长度过滤tcpdump输出。但我没有运气。
这是命令的简单输出;
tcpdump -n -i eth0 dst port 443 -A
17:03:30.866890 IP 192.168.0.149.45104 > 62.75.148.60.443: Flags [S], seq 2685064927, win 14600, options [mss 1460,sackOK,TS val 7028787 ecr 0,nop,wscale 4], length 0
E..<..@.@.......>K.<.0...
........9............
.k@3........
17:03:30.867658 IP 192.168.0.149.45104 > 62.75.148.60.443: Flags [.], ack 2285019097, win 913, options [nop,nop,TS val 7028787 ecr 974439509], length 0
E..4..@.@.......>K.<.0...
...2.............
.k@3:..U
17:03:30.867928 IP 192.168.0.149.45104 > 62.75.148.60.443: Flags [P.], seq 0:171, ack 1, win 913, options [nop,nop,TS val 7028787 ecr 974439509], length 171
E.....@.@..f....>K.<.0...
...2.............
.k@3:..U...........Opw2.....l..".T.7.q.]h..8W..%.....H...
.......9.8.......5... .....E.D.3.2...........A...../.........
...1.........alice.sni.velox.ch.
.................#..
17:03:30.869712 IP 192.168.0.149.45104 > 62.75.148.60.443: Flags [.], ack 1319, win 1078, options [nop,nop,TS val 7028788 ecr 974439511], length 0
E..4..@.@.......>K.<.0...
...2.....6.......
.k@4:..W
17:03:30.870724 IP 192.168.0.149.45104 > 62.75.148.60.443: Flags [P.], seq 171:178, ack 1319, win 1078, options [nop,nop,TS val 7028788 ecr 974439511], length 7
E..;..@.@.......>K.<.0...
...2.....6.......
.k@4:..W......0
我希望只有在包长度超过100字节时才会看到包。对于这种情况,只有第3个数据包。
期权[nop,nop,TS val 7028787 ecr 974439509],长度171
我查看过tcpdump的手册页,但找不到任何有用的参数。这里提到的表达“更长”; http://www.ethereal.com/docs/man-pages/tcpdump.8.html但我也不能使用那个表达式。
$ tcpdump -n -i eth0 dst port 443 -A -x greater 100
tcpdump: syntax error
感谢您的帮助。
答案 0 :(得分:30)
greater
length 有效,但您必须将其用作完整过滤器表达式的一部分,并且过滤器表达式必须在 all 命令之后-line标志参数。
工作示例:
tcpdump -n -i eth0 -A -x dst port 443 and greater 100
应该工作 - dst port 443 and greater 100
是一个完整的过滤器表达式,它检查发送到TCP或UDP端口443并且总长度的数据包(包括链路层, IP和TCP标头!)大于100。
不工作的例子:
tcpdump -n -i eth0 dst port 443 -A -x greater 100
无法正常工作 - dst
中的dst port 443
被视为过滤器表达式的开头,意味着它和之后的所有,包括 -A
和-x
被视为过滤器表达式的一部分,但-A
和-x
不是过滤器表达式的有效组件。它们可能是命令行选项,因此它们必须在之前所有非标志参数,包括过滤器表达式的组件。