Estoy tratando de tcpdump para capturar el tráfico a un puerto en un archivo, pero esto no parece para capturar todos los paquetes. Comando que utilizo es:

tcpdump-w tdump.dat puerto 22

¿Por qué no es capturar todos los paquetes?

Aquí está mi experimento:
root @ pmode-client6 adc-demo] # tcpdump puerto 22
tcpdump: escucha en eth0
00:06:45.290838 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 4216814594 ganar 65415 (DF)
00:06:45.290865 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 1:69 (68) ack 0 win 11792 (DF) [tos 0x10]
00:06:45.995979 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 1:69 (68) ack 0 win 11792 (DF) [tos 0x10]
00:06:46.394715 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. 69 ACK ganar 65347 (DF)
00:06:46.394750 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 69:513 (444) ack 0 win 11792 (DF) [tos 0x10]
00:06:46.795739 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. 513 ACK ganar 64903 (DF)
00:06:46.795751 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 513:809 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:47.300580 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. 809 ACK ganar 64607 (DF)
00:06:47.300590 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 809:1105 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:47.697982 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 1105 ganar 64311 (DF)
00:06:47.697993 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 1105:1401 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:48.106128 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 1401 ganar 65535 (DF)
00:06:48.106137 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 1401:1697 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:48.598476 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 1697 ganar 65239 (DF)
00:06:48.598483 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 1697:1993 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:49.007872 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 1993 ganar 64943 (DF)
00:06:49.007884 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 1993:2289 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:49.512090 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 2289 ganar 64647 (DF)
00:06:49.512100 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 2289:2585 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:49.913489 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 2585 ganar 64351 (DF)
00:06:49.913496 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 2585:2881 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:50.315388 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 2881 ganar 65535 (DF)
00:06:50.315401 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 2881:3177 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:50.813982 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. ACK 3177 ganar 65239 (DF)
00:06:50.813989 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 3177:3473 (296) ack 0 win 11792 (DF) [tos 0x10]
00:06:51.042979 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh: P 0:88 (88) ACK 3177 ganar 65239 (DF)

26 paquetes recibidos por el filtro
0 paquetes disminuyeron en un núcleo

[root @ pmode-client6 adc-demo] # tcpdump-w tdump.dat el puerto 22
tcpdump: escucha en eth0

6 paquetes recibidos por el filtro
0 paquetes disminuyeron en un núcleo
[root @ pmode-client6 adc-demo] # tcpdump-r tdump.dat puerto 22
00:08:56.741761 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 4216835054:4216835106 (52) ACK 3917910214 ganar 11792 (DF) [tos 0x10]
00:08:57.157589 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. 52 ACK ganar 65483 (DF)
00:08:57.157610 172.21.76.96.ssh> SJC-vpn6-65.cisco.com.2654: P 52:120 (68) ack 1 win 11792 (DF) [tos 0x10]
00:08:57.562987 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh:. 120 ACK ganar 65415 (DF)
00:09:06.055469 SJC-vpn6-65.cisco.com.2654> 172.21.76.96.ssh: P 1:89 (88) ACK 120 ganar 65415 (DF)

Tanto los comandos fueron ejecutados durante 10 segundos. De hecho, yo corría el comando con la opción-w para 15 segundos, pero la captura de paquetes en el vertedero se están a sólo 6 en comparación con el 26 paquetes sin la opción de guardar el archivo. Cualquier razón? Lo que yo puedo hacer para capturar todos?

-Satish

Snoop puede utilizar para capturar paquetes

comprobar las páginas de manual para más detalles

# Snoop puerto 22-x0

Esta no es la respuesta que busco. Creo tcpdump es una utilidad gratuita muy utilizado para capturar los paquetes de la red en un archivo. ¿Puede alguien me actualización sobre el uso de tcpdump para capturar todos los paquetes en un archivo?

En el futuro, si quieres buenas respuestas a sus preguntas, por favor, no use fuentes pequeñas de color o las fuentes.

Yo, por mi parte, encontrar su puesto original, muy difícil de leer. Creo que la mayoría de los lectores ir rápidamente a "la próxima entrada" cuando se encuentran con un puesto que es una fatiga visual

Suena como algunos cuellos de botella en el sistema, tal vez un problema con los topes. Intentar

# tcpdump -l port 22 | tee tdump.dat

Tengo más el problema. En realidad, cuando se muestre el ssh volcado durante un seguimiento a distancia, incluso los bytes transferidos por la pantalla será capturado y se traducirá en más paquetes en comparación con el tcpdump si queremos ejecutar el tcpdump sólo en el host.