독서 tcpdump를

Question

내가 사용 트래픽을 캡처하고

와 명령 줄에서 패킷을 캡처 :

07:22:33.320142 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], length: 296) 10.0.0.1.isakmp > 10.0.0.2.isakmp: [udp sum ok] isakmp 2.0 msgid cookie ->: phase 1 I #34[]: 
    (#33) 
    (#34) 
    (#40) 
    (#41) 
    (#41) 

이 패킷의 세부 정보가 필요합니다. 이 ISAKMP IKEv2 패킷에서 '암호화 알고리즘'및 '무결성 알고리즘'(ENCR_3DES 및 AUTH_HMAC_MD5_96)의 값을 추출하는 데 관심이 있습니다.

wireshark에서 패킷을 검사하면 값을 볼 수 있습니다. 하지만 쉘 스크립트에서이 작업을 수행해야하므로 wireshark를 사용할 수 없습니다. tcpdump 명령에서 이러한 값을 가져와야합니다.

tcpdump 읽기 명령에서 사용 된 암호화 및 무결성 알고리즘을 인쇄 할 수있는 방법이 있다고 가정합니다. 이 점을 이해하는 데 도움주세요.

패킷 캡쳐 : I는 와이어 샤크에서 패킷을 검사하는 경우

Answer 1

내가 값을 볼 수있다. 하지만 쉘 스크립트에서이 작업을 수행해야하므로 wireshark를 사용할 수 없습니다.

하지만 TShark를 사용할 수 있습니다. 당신은 단지 tcpdump와과 기대로

Answer 2

그것을 할 수있는 방법을 찾을 수 있지만, @의 user862787는 사용 tshark를 같이 말했다 :

# tshark -V -r somecapfile.pcap 
Frame 1: 196 bytes on wire (1568 bits), 196 bytes captured (1568 bits) 
Encapsulation type: Linux cooked-mode capture (25) 
Arrival Time: May 10, 2017 02:00:34.811347000 CDT 
[Time shift for this packet: 0.000000000 seconds] 
Epoch Time: 1494399634.811347000 seconds 
[Time delta from previous captured frame: 0.000000000 seconds] 
[Time delta from previous displayed frame: 0.000000000 seconds] 
[Time since reference or first frame: 0.000000000 seconds] 
Frame Number: 1 
Frame Length: 196 bytes (1568 bits) 
Capture Length: 196 bytes (1568 bits) 
[Frame is marked: False] 
[Frame is ignored: False] 
[Protocols in frame: sll:ethertype:ip:sctp:m3ua:sccp:tcap:gsm_map] 

-V는 당신이 원하는 무엇을!