Ich erfasse TCPdump-Pakete. Wenn ich jedoch die Ausgabe mit tcpdump -r sehen möchte, sehe ich den Zielhostnamen statt der Adress-IP und den Dienstnamen statt der Portnummer.
Beispiel:
tcpdump -w /home/backup/out.bin -nn -i ens192 '(dst port 80)'
Nach einer Minute Strg + C, um den Vorgang zu stoppen
Dann:
tcpdump -r /home/backup/out.bin
Es zeigt:
12:01:28.079940 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 4196894497, win 229, options [nop,nop,TS val 875454090 ecr 3736039484], length 0
12:01:28.080841 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 0
12:01:28.080863 IP 192.168.1.20.50704 > app.server.http: Flags [P.], seq 0:95, ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 95
Anstelle von app.server.http sollten die IP-Adresse und die Portnummer angezeigt werden.
Was kann ich in diesem Fall tun?
Antwort1
Die erfassten Daten selbst enthalten die IP-Adressen und Portnummern. tcpdumpBei der Anzeige werden jedoch Rückwärtssuchen nach IP-Adressen und Portnummern durchgeführt. -nRückwärtssuchen können deaktiviert werden.
Sie sollten also verwenden
tcpdump -n -r /home/backup/out.bin
um die Aufnahme anzuzeigen.