Recording 仅嗅探/记录应用程序层_Recording_Sniffing_Network Traffic_Application Layer

Recording 仅嗅探/记录应用程序层

Recording 仅嗅探/记录应用程序层,recording,sniffing,network-traffic,application-layer,Recording,Sniffing,Network Traffic,Application Layer,我正在寻找一个工具（最好是在Linux上），它可以嗅探UDP流量并只将应用层记录到文件中我不能让tcpdump/wireshark这样做，因为它们也总是编写较低层的标题。我尝试使用snort（./snort-qd-l./logs），但它一直将数据存储到文件中，即使数据包中没有应用层数据也许有人知道这样一个工具哦，UDP通信也是多播的我还尝试了多点通话（可视局域网）。他们声称这是多播的网络猫。但我不知道，除了我使用netcat手动发送的有效负载外，它还存储一些其他二进制垃圾（对我来说）。

我正在寻找一个工具（最好是在Linux上），它可以嗅探UDP流量并只将应用层记录到文件中

我不能让tcpdump/wireshark这样做，因为它们也总是编写较低层的标题。我尝试使用snort（./snort-qd-l./logs），但它一直将数据存储到文件中，即使数据包中没有应用层数据

也许有人知道这样一个工具

哦，UDP通信也是多播的

我还尝试了多点通话（可视局域网）。他们声称这是多播的网络猫。但我不知道，除了我使用netcat手动发送的有效负载外，它还存储一些其他二进制垃圾（对我来说）。。。

任何熟悉multicat？

Wireshark的人都有分析大多数协议头的过滤器，并且肯定会识别UDP、IP、以太网等头。我不确定您希望通过日志记录完成什么，但是如果文件的格式很重要（即，甚至不应该将任何头存储到文件），您可以尝试使用UDP代理

使用netcat，您可以执行以下操作

nc -u -l 12345 | tee mydumpfile.out | nc -u target.example.com 12345

你也必须做相反的事情来转储双向通信。如果您这样做是为了反向工程，那么您可能需要编辑

/etc/hosts

文件，并将目标DNS名称指向

localhost

。我为TCP连接做过几次，但我并没有为UDP做过尝试，因为管道数据的缓冲可能会导致数据包边界等问题

如果您想要最大程度的控制，请自己编写（如果您使用例如，它只有十几行左右）。

谢谢Krumelur，我可以手动使用nc。问题是（很抱歉我忘了提到它）我想记录多播流量。。。