我使用下面的命令来获取数据包间到达时间和长度的报文:如何让tcpdump包含第3层和第4层的数据包大小?
tcpdump -r example.pcap -n -ttt > result.txt
的结果是这样的:
00:00:00.000545 IP src-ip.52871 > dst-ip.39461: Flags [P.], seq 1:69, ack 1, win 16698, length 68
是tcpdump的计算仅限于应用的长度我希望它计算数据包大小的层3(IP),4(TCP或UDP)和5(应用程序)。
我应该使用什么命令?
使用-v选项,它会显示更多详细信息。在下面的示例中,length 64是整个帧的长度,包括第3层和第4层标题。
18:15:21.158633 IP (tos 0x20, ttl 45, id 60118, offset 0, flags [DF], proto TCP (6), length 64)
c-66-30-195-209.hsd1.ma.comcast.net.55297 > 10.6.117.127.macromedia-fcs: Flags [S], cksum 0x5a12 (correct), seq 4051274653, win 65535, options [mss 1460,nop,wscale 3,nop,nop,TS val 925877152 ecr 0,sackOK,eol], length 0
您还可以使用-e包括以太网报头,然后长度将包括一致好评。
谢谢。我测试了开关-v,我发现输出中的第一个“长度”包括3,4和5层。我是对吗? –
是的。也是6和7。 – Barmar