Например, у меня есть сервер, прослушивающий порт 8001, клиентская программа открывает сокет tcp, подключается к этому порту, отправляет некоторые двоичные данные, я хочу захватить фактические данные только без какого-либо заголовка TCP / IP, такого как материал рукопожатия tcp ..
Возможно ли это с tcpdump?
Нет, в tcpdump нет функций для извлечения полезной нагрузки (вырезания заголовков). Также нет встроенных функций для глубокого анализа данных прикладного уровня. Но вы можете записывать трафик в файл и извлекать фактические данные с помощью функций wirehark.
Вы можете получить нечто подобное, используя tcpdump -i any <your_filter> -A. Из человек tcpdump:
-A Распечатать каждый пакет (за вычетом его заголовка канального уровня) в ASCII. Удобно для захвата веб-страниц.
Чтобы получить более сфокусированный дамп (например, удалить некоторый пакет подтверждения), вы можете поиграть с правилами фильтрации, например, удалив tcp-syn пакет от фильтрации.