TCPDUMP - Захоплення пакетів на декількох IP-адресах (FIlter)

9

Що мені потрібно зробити (через 'tcpdump' через Linux):

• Сервери додатків ECommerce: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Це те, що я хочу зафіксувати (відфільтровано на цих точних IP-адресах). Не IP-діапазон (підмережа) або окрема IP-адреса, лише кілька IP-адрес / серверів.

• У цьому діапазоні є й інші програми, наприклад, програма PayRoll працює на 192.168.1.5, і я не хочу бачити жодного з цих трафіків під час захоплення.

Я спробував:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

а також:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Обидві помилки повернення синтаксису.

Будь-яка допомога дуже цінується.

tcpdump

— Дерек
джерело

Ви також можете спробувати: tcpdump -D У цьому списку будуть перераховані всі інтерфейси, якщо ви не впевнені, на якому інтерфейсі захоплювати трафік. Виходячи з того, що ви спробували, здається, що 0 може скинути його. Також "/ tmp" та "" при переліку хостів. Вам не потрібно "" перелічувати хости, але вам потрібно вказати інтерфейс перед каталогами чи параметрами.

— інжектор

15

основним синтаксисом у вашому випадку був би

tcpdump -i <interface to capture on> <filters>

Це <filters>розшириться до чогось подібного

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

якщо ваш додаток для електронної комерції використовує порти 80 і 443 для зв'язку. Одиночні лапки є важливими, інакше ваша оболонка може побачити дужки (), які важливі для групування параметрів як спеціальних символів.

додавання параметрів -v та -n на початку ( tcpdump -v -n -i ...) додасть багатослівність у вихідний сигнал та відключить роздільну здатність імені (прискорює вихід)

— вабіт
джерело

-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

— марина
джерело