為什麼我在幾秒鐘內就看到了這麼多 ssh 數據包？

我正在學習如何使用 tshark，以便更好地了解網路。作為使用者，我日常最常使用的協議是 SSH。所以我想我會在我的伺服器上對 ssh 數據包啟動一個擷取過濾器，看看會發生什麼。我執行了以下命令

sudo tshark -f "tcp port 22"

然後它開始偵聽第一個可用介面。我什麼也沒看到，所以我調出另一個終端螢幕並 ssh 到我的盒子。當我連接時，開始擷取大量數據包，所有數十萬個數據包看起來像這樣：

751253 17.666088 134.173.60.192 -> 134.173.63.11 TCP 66 53596 > ssh

$$ ACK $$序列=44101 確認=83725993

Win=1356 Len=0 TSval=739170816 TSecr=8520295
751254  17.666092 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726173 Win=1351 Len=0 TSval=739170816 TSecr=8520295
751255  17.666094 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726209 Win=1350 Len=0 TSval=739170816 TSecr=8520295
751256  17.666096 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726389 Win=1344 Len=0 TSval=739170816 TSecr=8520295
751257  17.666098 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726521 Win=1340 Len=0 TSval=739170816 TSecr=8520295
751258  17.666098 x.x.x.x -> y.y.y.y SSH 198 Encrypted response packet len=132

所以我的問題是，這是預期的嗎？tshark 在大約 5 秒內從單個 ssh 連接擷取 100,000 個數據包是否正常？

傳入 ssh 數據包的速率似乎呈線性增長，因此起初它每秒僅擷取 500 個數據包，但在 5 秒左右後，它每秒擷取 100,000 個數據包。

您可能創建了一個循環。

數據包擷取 -> 輸出到 shell -> 從該輸出生成的數據包 -> 返回數據包擷取

安靜地（原始）輸出到文件或

tshark -q -f "tcp port 22" -w test.raw

通過重定向輸出作為文本。

tshark -f "tcp port 22" > test.txt

引用自：https://serverfault.com/questions/645923