tcpdump パケットをキャプチャしています。しかし、tcpdump -r で出力を見ようとすると、アドレス IP の代わりに宛先ホスト名、ポート番号の代わりにサービス名が表示されます。
例:
tcpdump -w /home/backup/out.bin -nn -i ens192 '(dst port 80)'
1分後にCtrl + Cを押してプロセスを停止します
それから:
tcpdump -r /home/backup/out.bin
それが示している:
12:01:28.079940 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 4196894497, win 229, options [nop,nop,TS val 875454090 ecr 3736039484], length 0
12:01:28.080841 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 0
12:01:28.080863 IP 192.168.1.20.50704 > app.server.http: Flags [P.], seq 0:95, ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 95
app.server.http の代わりに IP アドレスとポート番号が表示されます。
この場合、何ができるでしょうか?
答え1
キャプチャされたデータ自体には IP アドレスとポート番号が含まれています。ただし、tcpdump表示中に IP アドレスとポート番号の逆引きが行われます。逆引きを無効にするには、 を使用します-n。
だから、
tcpdump -n -r /home/backup/out.bin
キャプチャを表示します。