Linux
tcpdump 預設擷取大小在類似伺服器上有所不同
在兩個不同但相似的(發行版、版本)伺服器上執行
/usr/sbin/tcpdump -n dst ${some_ip} and dst port 80
會給我不同的擷取大小(一個為 65535 字節,另一個為 262144 字節)。什麼可能導致 tcpdump 擷取大小的這種差異?它可能導致結果數據輸出有哪些差異?
編輯:
ldd $(which tcpdump)
在兩台伺服器上具有相同的輸出:linux-vdso.so.1 => (0xdeadbeef) libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0xdeadbeef) libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0xdeadbeef) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0xdeadbeef) libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0xdeadbeef) /lib64/ld-linux-x86-64.so.2 (0xdeadbeef)
啊,不過核心版本不一樣,肯定跟那個有關……
capture size 65535: Ubuntu 14.04.4, Linux 3.13.0-85-generic capture size 262144: Ubuntu 14.04.5, Linux 3.13.0-116-generic
快照長度
查看tcpdump.org並蒐索快照長度。預設值基於您的 libpcap 版本或您正在使用的任何自定義擷取驅動程序。