Tcpdump neukládá do souboru (vyřešeno)

Ahoj ve spolek! potřebuji tcpdumpem, tsharkem (dumpcapem) zaznamenat provoz stanice na síti, pokud pustím tcpdump -i ethX host xxx.xxx.xxx.xxx provoz je normálně vidět, tj. komunikace probíhá, jakmile ale pustím ukládání do souboru, soubor se vytvoří, ale zůstane prázdný. Nevíte, kde může být problém?

/usr/sbin/tcpdump -i ethX host xxx.xxx.xxx.xxx -C 100000 -w /home/x/y.pcap

/usr/sbin/tshark -i ethX -f "host xxx.xxx.xxx.xxx" -b filesize:100000 -w /home/x/y.pcap

Centos 5.4 32bit 2.6.18-164.15.1.el5,

EthX jsem přepnul do promisc, nepomohlo, FW jsem vypnul, nepomohlo...

Díky za každou radu a přeji pěkný den všem :)

Odpovědi

Pridej jeste parametr -U !!

11.5.2010 12:34 Petr
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

Diky moc, -U u tcpdumpu pridano, ale vysledek porad stejny=zadny.. musim trosku pouprait puvodni prispevek, to, ze data proudi jsem kontroloval timto:

tcpdump -i eth2 | grep 172.18.14.7

a data opravdu chodi.. prosimprosim, nejake dalsi napady?

Petr

11.5.2010 20:19 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

A to snifování jsi už skončil? Dokud nebyl soubor uzavřený, tak jsem taky viděl velikost 0.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

12.5.2010 11:40 Petr
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

Ano, zkousel jsem i male soubory, aby se uzaverly, ale stejne nic, uz jsem ze zoufalosti nainstaloval i graficke rozhrani, pustim WS, dam zaznamenavat veskery traffic na ethX a vse funguje ok, jakmile dam ale filtr na hosta, nevyleze mi z toho vubec nic :( novejsi ws se mi nedari zkompilovat a zaroven novejsi rpm pro centos neni.. nemohl by byt problem s nedostatkem vykonu? Diky

P4 3.2ghz, 2gb ram a pc nedela vubec nic, krom filtrovani..

12.5.2010 11:59 Václav Kramář | skóre: 31 | Nechanice
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

A co jednoduše tcpdump -i eth2 | grep 172.18.14.7 >> soubor?

12.5.2010 12:32 Petr
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

Myslim si, ze timto by nebyl zachovan spravny format souboru pcap, ale mozna kecam..

12.5.2010 12:44 Petr
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

Ono problem nakonec snad ani neni to, ze neuklada, ale to, ze NEFILTRUJE. Pokud cely provoz ulozim a filtruju nasledovne, je to ok, pokud ovsem rovnou nasadim filtr, nedostanu z toho nic :(

12.5.2010 13:03 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

Tak nevim ... zkusmo jsem nahodil konstrukci "tcpdump -i wlan0 -vvv host 77.93.218.10 -X -n -s 1500 -w tcpdump-trekkies.log " a výsledek mam ok ... tcpdump mam verzi 4.0.1_pre20090709, zkompilovaný s flagy "chroot ipv6 samba ssl".

Pokud byste měl další tip, jak Vám mohu pomoci, dejte vědět.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

12.5.2010 14:20 Václav Kramář | skóre: 31 | Nechanice
Rozbalit Rozbalit vše Re: Tcpdump neukládá do souboru

Pokud budeš filtrovat přímo v tcpdumpu, tak se ti to bude ukládat správně. Pokud ale výstup přesměruješ místo do souboru na vstup grepu (... | grep ...), tak už musíš i filtrovaný výstup řešit v grepu. A tam je nejjednodušším řešením přesměrování do výstupu do souboru (... > soubor).

To znamená, že bez ukládání do souboru to také nefunguje?

/usr/sbin/tcpdump -i ethX host xxx.xxx.xxx.xxx

Pokud ano, zkus ukládání do souboru bez -C.

/usr/sbin/tcpdump -i ethX -w soubor.pcap host xxx.xxx.xxx.xxx

Mimochodem hodnota 100000 pro -C je docela hodně (téměř 100GB), jednotkou jsou miliony bajtů.

The units of file_size are millions of bytes (1,000,000 bytes, not 1,048,576 bytes).

Dotaz: Tcpdump neukládá do souboru

Odpovědi