Чи можна доручити tcpdump не повідомляти про пакети певному джерелу?

Я хотів би стежити за пакетами за допомогою TCPdump. На жаль, я повинен це робити віддалено - у цьому випадку я використовую віддалений робочий стіл від VNC, але в кращому випадку можу це зробити через SSH.

Що я маю на увазі під «кращим» - це я бачу величезну кількість пакетів, спрямованих на мою власну машину. Я намагаюся контролювати сервер, а не свою локальну машину, тому я дійсно краще ігнорувати будь-які пакети, що йдуть до моєї власної машини.

Чи є спосіб зробити так, щоб tcpdump звітував про ВСІ ОКРЕМИ пакети, що йдуть до певного IP?

Моє гакітне рішення: sleep 5;tcpdump [options]і вбийте з'єднання VNC, поки я чекаю.

Так, ви можете додати фільтр у параметри tcpdump. Якщо припустимо, що ваш IP-код є 1.2.3.4, це виглядатиме так:

tcpdump -f "not host 1.2.3.4" ...other options...

Ви можете зробити це за допомогою наступної команди:

  tcpdump -i eth0 ! host Your.own.Ip.Address. 

Однак це невелика надмірність: ви можете час від часу цікавитись пакетами, адресованими вашій машині, але не тим, що стосуються самого спілкування. Можна використовувати

  tcpdump -i eth0 ! port 22

(якщо ви підключені через ssh), що усуне всі пакети, що йдуть в / з віддаленої машини на порт 22; однак це також видалить всі пакети ssh на / з віддаленої машини з / на інші машини.

Якщо ви хочете бути справді повною, виключаючи лише трафік між вашими локальними та віддаленими машинами через ssh, вам потрібно видавати:

  tcpdump -i etho ! '((host remote.machine.ip.address and port 22) and local.machine.ip.address)'

Пам’ятайте про яблука, вони важливі.