Estou capturando pacotes tcpdump. Mesmo assim, quando quero ver a saída de tcpdump -r, vejo o nome do host de destino em vez do endereço IP e o nome do serviço em vez do número da porta.
Exemplo:
tcpdump -w /home/backup/out.bin -nn -i ens192 '(dst port 80)'
Depois de um minuto Ctrl + C para interromper o processo
Então:
tcpdump -r /home/backup/out.bin
Isto mostra:
12:01:28.079940 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 4196894497, win 229, options [nop,nop,TS val 875454090 ecr 3736039484], length 0
12:01:28.080841 IP 192.168.1.20.50704 > app.server.http: Flags [.], ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 0
12:01:28.080863 IP 192.168.1.20.50704 > app.server.http: Flags [P.], seq 0:95, ack 93, win 229, options [nop,nop,TS val 875454091 ecr 3736039485], length 95
Deve mostrar o endereço IP e o número da porta em vez de app.server.http.
O que posso fazer neste caso?
Responder1
Os próprios dados capturados contêm os endereços IP e números de porta. No entanto, tcpdumpfaz pesquisas reversas de endereços IP e números de porta durante a exibição. Pode-se usar -npara desativar pesquisas reversas.
Então, você deve usar
tcpdump -n -r /home/backup/out.bin
para exibir a captura.