Я учусь использовать tshark, чтобы лучше разбираться в сетях. Как пользователь, я чаще всего использую изо дня в день протокол SSH. Поэтому я решил запустить фильтр захвата для пакетов ssh на моем сервере и посмотреть, что произойдет. Я выполнил следующую команду
sudo tshark -f "tcp port 22"
а затем он начинает прослушивать первый доступный интерфейс. Я ничего не вижу, поэтому открываю еще один экран терминала и отправляю ssh в свой ящик. Когда я подключаюсь, начинает захватываться удивительно большое количество пакетов, и все сотни тысяч пакетов выглядят так:
751253 17.666088 134.173.60.192 -> 134.173.63.11 TCP 66 53596> ssh [ACK] Seq = 44101 Ack = 83725993
Win=1356 Len=0 TSval=739170816 TSecr=8520295
751254 17.666092 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726173 Win=1351 Len=0 TSval=739170816 TSecr=8520295
751255 17.666094 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726209 Win=1350 Len=0 TSval=739170816 TSecr=8520295
751256 17.666096 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726389 Win=1344 Len=0 TSval=739170816 TSecr=8520295
751257 17.666098 x.x.x.x -> y.y.y.y TCP 66 53596 > ssh [ACK] Seq=44101 Ack=83726521 Win=1340 Len=0 TSval=739170816 TSecr=8520295
751258 17.666098 x.x.x.x -> y.y.y.y SSH 198 Encrypted response packet len=132
Итак, мой вопрос: ожидается ли это? Это нормально, когда tshark перехватывает 100000 пакетов из одного ssh-соединения примерно за 5 секунд?
Скорость входящих ssh-пакетов, кажется, растет линейно, поэтому сначала он захватывает только 500 пакетов в секунду, но через 5 секунд или около того он захватывает 100000 пакетов в секунду.
Вероятно, вы создали петлю.
захваченный пакет -> вывод в оболочку -> пакеты, сгенерированные из этого вывода -> назад к захвату пакета
Тихо выводить в файл (сырой) или
tshark -q -f "tcp port 22" -w test.raw
как текст, перенаправив вывод.
tshark -f "tcp port 22" > test.txt