TCPDUMP - Chụp gói trên nhiều địa chỉ IP (FIlter)

9

Những gì tôi cần làm (thông qua 'tcpdump' thông qua Linux):

• Máy chủ ứng dụng thương mại điện tử: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Đây là những gì tôi muốn chụp (được lọc trên các IP chính xác này). Không phải là dải IP (mạng con) hoặc địa chỉ IP riêng lẻ, chỉ một số địa chỉ / máy chủ IP.

• Có các ứng dụng khác trong phạm vi này, ví dụ: Ứng dụng PayRoll nằm trên 192.168.1.5 và tôi không muốn thấy bất kỳ lưu lượng truy cập nào trong bản chụp của mình.

Tôi đã thử:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

và cũng:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Cả hai lỗi cú pháp trả về.

Bất kỳ sự giúp đỡ nào cũng được đánh giá cao.

tcpdump

— Derek
nguồn

Bạn cũng có thể thử: tcpdump -D Điều này sẽ liệt kê tất cả các giao diện, nếu bạn không chắc chắn giao diện nào sẽ nắm bắt lưu lượng truy cập. Dựa trên những gì bạn đã thử, có vẻ như số 0 có thể bị loại bỏ. Ngoài ra "/ tmp" và "" khi liệt kê máy chủ. Bạn không cần "" để liệt kê các máy chủ, nhưng bạn cần chỉ định giao diện trước các thư mục hoặc tùy chọn.

— tiêm

15

cú pháp cơ bản trong trường hợp của bạn sẽ là

tcpdump -i <interface to capture on> <filters>

Các <filters>sẽ mở rộng tới một cái gì đó như

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

nếu ứng dụng Thương mại điện tử của bạn sẽ sử dụng cổng 80 và 443 để liên lạc. Các dấu ngoặc đơn rất quan trọng, nếu không, shell của bạn có thể thấy dấu ngoặc () rất quan trọng để nhóm các tham số thành các ký tự đặc biệt.

việc thêm tham số -v và -n ở đầu ( tcpdump -v -n -i ...) sẽ thêm độ dài cho đầu ra và vô hiệu hóa độ phân giải tên (tăng tốc độ đầu ra)

— the-wợi
nguồn

-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

— ướp
nguồn