我想持续监控来自特定来源的 TCP 数据。
我在 Windows 服务器上的 cygwin mintty xterm 中使用此命令。
tshark.exe -i 5 -f "tcp port 1234" -T fields -e data | xxd -r -p
这非常有效,因为我得到了一个 ASCII 滚动窗口,这是发送给我的数据。当连接失败时(这就是我正在尝试调试的),最后发送的数据将显示在 cygwin 窗口中。
但是,我注意到 Tshark 内存使用量不断攀升,几个小时后就相当大了。
对此我能做什么?我想让它运行几天。
tshark-b files:N-btshark如需了解更多信息,请随时阅读 Wireshark 博客文章 “To Infinity and Beyond! Capturing Forever with Tshark”,作者 Evan Huus,他是 Wireshark 核心开发人员之一,也是负责实现此功能以丢弃状态的人员信息。
我遇到了类似的问题,但我没有捕获到文件中,而是读取已经从大文件(75GB)中捕获的数据包。因此,看起来 tshark 有一些内部簿记表,该表随着许多包而增长。对我来说,解决方案是会话重置选项(-M),它看起来会截断内部状态:
tshark -r /tmp/traffic.pcap -M 100000
我也不用
-w.pcapng/tmp/我解决了这两个问题:
.. 通过添加
-a duration:3600tsharktshark/tmp/tshark