In der Tcpdump-Ausgabedatei werden die Ziel-IP-Adresse und die Portnummer nicht gespeichert

In der Tcpdump-Ausgabedatei werden die Ziel-IP-Adresse und die Portnummer nicht gespeichert

Ich erfasse TCPdump-Pakete. Wenn ich jedoch die Ausgabe mit tcpdump -r sehen möchte, sehe ich den Zielhostnamen statt der Adress-IP und den Dienstnamen statt der Portnummer.

Beispiel:

tcpdump -w /home/backup/out.bin -nn -i ens192 '(dst port 80)'

Nach einer Minute Strg + C, um den Vorgang zu stoppen

Dann:

tcpdump -r /home/backup/out.bin

Es zeigt:

12:01:28.079940 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 4196894497, win 229, options [nop,nop,TS val 875454090 ecr 3736039484], length 0
12:01:28.080841 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 0
12:01:28.080863 IP 192.168.1.20.50704 > app.server.http: Flags [P.], seq 0:95, ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 95

Anstelle von app.server.http sollten die IP-Adresse und die Portnummer angezeigt werden.

Was kann ich in diesem Fall tun?

Antwort1

Die erfassten Daten selbst enthalten die IP-Adressen und Portnummern. tcpdumpBei der Anzeige werden jedoch Rückwärtssuchen nach IP-Adressen und Portnummern durchgeführt. -nRückwärtssuchen können deaktiviert werden.

Sie sollten also verwenden

tcpdump -n -r /home/backup/out.bin

um die Aufnahme anzuzeigen.

verwandte Informationen