如何阻止 tcpdump 截断 http 有效负载？

Question

我正在尝试进行捕获，并且在中途看到一半的有效负载带有“[！http]”。有没有办法让它显示整个有效载荷？

我正在执行 REST 调用并想查看服务器正在接收什么：

                  <value>0x100000</value>
                </attribute>
              </greater-than-or-equals>
              <less-than-or-equals>
                <attribute id="0x129fa">
                 [!http]
    16:34:06.549662 IP (tos 0x0, ttl 255, id 49564, offset 0, flags [DF], proto TCP (6), length 1301)

我正在使用：

tcpdump -vvv -i ens192 tcp port 8080 and src 192.168.1.1

任何帮助将不胜感激。

非常感谢

弗兰克

Answer 1

问题很可能与您正在捕获的内容无关，而与有效负载大于单个数据包有关。

如今，当您运行 tcpdump 时，默认设置是捕获长度与您接口的 MTU 匹配的数据包（至少）。如果不确定，可以通过将捕获长度指定为零来覆盖它：

 tcpdump -s 0 -w captureFile.cap

同样，这可能不是这里的问题。其余数据更有可能在下一个 TCP 段中。不幸的是，tcpdump 并不是提取会话数据的理想工具。我建议您查看 Wireshark（或 tshark），它可以让您轻松选择一个数据包，然后在删除所有 IP 和 TCP 标头的情况下重新组合数据流。