Как я заставляю tcpdump не распечатать tcp заголовки?

Я не уверен в точном синтаксисе для tcpdump... на самом деле я отметил этот вопрос как фаворита, потому что я хотел бы знать! Но как альтернативное решение, Вы могли попытаться использовать tcpflow вместо этого. Это работает по существу тот же путь, но это печатает вывод ASCII намного лучше; это исключило заголовки и печатает пакеты последовательно как поток, таким образом, легче читать и следовать время от времени, чем tcpdump.

Быстрый и грязный способ сделать это должно пропустить вывод через строки:

tcpdump -nli eth0 '(port 6667) and (length > 74)' -s 0 -w - | strings

Иногда у Вас нет других инструментов, и для быстрого быстрого взгляда в полезную нагрузку это достаточно. Это бесполезно при необходимости в точной полезной нагрузке для инжекции или точном анализе, конечно.

При необходимости только в части ASCII, можно использовать: tcpdump -s 1500 -A -l -i eth0 '(port 6667) and (length > 74)'|sed 's/\.//g' или с ngrep: ngrep -d eth0 -lq . '(port 6667) and (length > 74)' |sed -rn '/^ /s/\.//gp'

У меня была та же проблема на прошлой неделе - я использовал wireshark gui вместо этого и сделал "копию читаемый ASCII" для содержательных пакетов.

Я (успешно) пытался придавить проблему с запросом HTTP к веб-сервису и его XML-ответом.

Как предлагает Джош, tcpflow может печатать только данные пакета TCP в файл или STDOUT. Вы можете передать tcpdump в tcpflow следующим образом:

tcpdump -i lo -l -w - port 23 | tcpflow -C -r -

Чтобы просмотреть только одну сторону диалога, вы можете использовать фильтры для tcpdump, например dst порт 23 .

Я считаю, что самым элегантным решением будет просто отказаться от tcpdump. Никаких трубок:

tcpflow -c port 6667

И все.