Я установил tcpdump на debian 8 с помощью команды apt-get. Когда я пытаюсь записать пакет на интерфейс мониторинга, который получает пакеты через порт SPAN, с помощью следующей команды "tcpdump -i interface -nn -c 25", я вижу, как трафик идет на веб-сервер, а веб-сервер отвечает клиенту.
Однако, когда я пытаюсь записать эти пакеты в файл типа "tcpdump -i interface -nn -w file.pcap -s 0", а затем пытаюсь прочитать файл как "tcpdump -i interface -r file.pcap 'host xxxx' « Я вижу только одну сторону общения. То есть веб-сервер отвечает клиенту. Кто-нибудь сталкивался с такой ситуацией раньше?
Я знаю, что обе стороны разговора записаны в файле .pcap, потому что я могу получить обе стороны разговора через tshark, но не через tcpdump.