Tcpdump mit -w Schreiben Kauderwelsch Datei

Question

Beim Versuch, tcpdump Ausgabe in einer Datei zu erfassen, erhalte ich die folgende:

▒ò▒▒▒▒3▒X▒▒ < < ▒▒▒▒▒▒▒ 4▒4▒b 7▒▒3▒X▒▒ < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒X▒▒ < < ▒▒▒▒▒▒▒ 4▒4▒b 7▒▒3▒X▒ < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒Xu < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒X▒ < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒X▒D < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒X▒D < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒X5▒ < < ▒▒▒▒▒▒▒4▒4▒b 7▒▒3▒X▒ < < ▒▒▒▒▒▒▒4▒4▒b

Wenn ich tcpdump ohne das -w ausführen, wird die Ausgabe in der Shell fein angezeigt. Hier

ist der Eingang:

tcpdump -i eth0 -Z root -w `date '+%m-%d-%y.%T.pcap'` 

Answer 1

tcpdump -w schreibt die RAW-Datei, die für das Lesen nicht direkt gemeint ist. Sie können die Datei wieder mit der tcpdump -r Option lesen, wie in der Manpage vorgeschlagen:

-r Lese Pakete aus der Datei (die mit der Option -w erstellt wurde). Die Standardeingabe wird verwendet, wenn die Datei '' - '' ist.

-w Schreiben Sie die Rohpakete in die Datei, anstatt sie zu analysieren und auszudrucken. Sie können später mit der Option -r gedruckt werden. Die Standardausgabe wird verwendet, wenn die Datei '' - '' ist. Eine Beschreibung des Dateiformats finden Sie unter pcap-savefile (5).

wäre eine weitere Option, um die Ausgabe zu umleiten, ohne dass die -w-Option:

tcpdump -i eth0 -Z root > `date '+%m-%d-%y.%T.pcap'` 

Aber wenn ich mich richtig erinnere bekommt man nicht genau, was mit der -w Option geschrieben werden würde.