LINUX.ORG.RU

Tcpdump без -n не выводит инфу о пакетах.

 , , ,


0

1

В одном из терминалов пингуется яндекс.

Если я делаю tcpdump -vv и жду 10 секунд, то получаю:

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:34:25.501933 IP (tos 0x0, ttl 64, id 48377, offset 0, flags [DF], proto ICMP (1), length 84)
^C    192.168.1.35 > www.yandex.ru: ICMP echo request, id 2590, seq 69, length 64

1 packet captured
27 packets received by filter
20 packets dropped by kernel

если же делаю tcpdump -vvn и жду 10 сек, то:

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
15:35:18.582934 IP (tos 0x0, ttl 64, id 7216, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.35 > 213.180.193.3: ICMP echo request, id 2590, seq 122, length 64
15:35:18.609533 IP (tos 0x0, ttl 56, id 37782, offset 0, flags [none], proto ICMP (1), length 84)
    213.180.193.3 > 192.168.1.35: ICMP echo reply, id 2590, seq 122, length 64
15:35:19.584622 IP (tos 0x0, ttl 64, id 8014, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.35 > 213.180.193.3: ICMP echo request, id 2590, seq 123, length 64
15:35:19.611242 IP (tos 0x0, ttl 56, id 37885, offset 0, flags [none], proto ICMP (1), length 84)
    213.180.193.3 > 192.168.1.35: ICMP echo reply, id 2590, seq 123, length 64
15:35:20.586317 IP (tos 0x0, ttl 64, id 8761, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.35 > 213.180.193.3: ICMP echo request, id 2590, seq 124, length 64
15:35:20.613612 IP (tos 0x0, ttl 56, id 38103, offset 0, flags [none], proto ICMP (1), length 84)
    213.180.193.3 > 192.168.1.35: ICMP echo reply, id 2590, seq 124, length 64
и так далее

То есть в первом случае у меня просто тупо черный экран, в котором вылезает 1 раз в 10-15 секунд ICMP до яндекса - а во втором я все прекрасно вижу в реальном времени.

В Wireshark все хорошо - имена доменов показываются, пакеты захватываются в реальном времени.

Что я делаю не так? Почему в первом случае я не вижу множество пакетов с именами доменов?

Ответ на: комментарий от frozen92

Все нормально. tcpdump никогда не отличался умением не тормозить в случае медленного (или недоступного dns). Если брать всякие Wireshark/trafshow то они для резолвинга запускают отдельный тред или процесс, иначе будет как у tcpdump-a :)

Собери интересующий траффик в файл, а потом в уже смотри с резолвингом.

vel ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.