tcpdump cap пакет 0

это все потому что ты сохранял свой cap в бинарном виде а чтобы был редактируемый (читабельный вид ) надо дампить вот так:

tcpdump -n -i eth0 -l | tee tmp.cap

Дак это же лог получается ? по идее можно tcpdump > tmp.cap … тот же результат даст и флаг -l.

-l Make stdout line buffered. Useful if you want to see the data

while capturing it. E.g.,

А мне по идее не надо ее видеть :) когда tcpdump работает. Я же хотел к примеру поймать пакет, изменить его и перенаправить. Здесь я думаю так и так придется в бинарный файл сохранять.

Задам вопрос по-другому. Есть packet.cap в бинарном виде. Как его подредактировать ?

гы-гы. по мне, так это делается совершенно не этими средствами. не tcpdump-ом, как минимум.

для этого надо использовать пакетный фильтр (кстати, а какая система исползуется?) и менять пакеты его средствами…

в линуксе — это iptables и надо оперировать в таблице mangle. для этого описание iptables tutorial просто необходимо для прочтения.

во freebsd — пакетный фильтр — ipfw, но умеет ли он это — я не знаю, обратись к документации.

Я и не говорю что это должно tcpdumpом делаться. К примеру какой фильтр ? машина со slackware.

Я че-то не понял. iptables можно изменять пакеты и отправлять сохраненные ?

billybob
Я и не говорю что это должно tcpdumpом делаться. К примеру какой фильтр ? машина со slackware.

Я че-то не понял. iptables можно изменять пакеты и отправлять сохраненные ?

Глянь ettercap.

нашел решение …. есть такая тулза editcap из ethereal ..