Tcpdump trên nhiều giao diện

Tôi cần nắm bắt lưu lượng truy cập trên máy chủ CentOS 5 hoạt động như một proxy web với 2 giao diện wan và 1 LAN. Để khắc phục sự cố proxy lạ, tôi muốn có một cuộc trò chuyện đầy đủ. Vì các kết nối bên ngoài được cân bằng giữa hai giao diện WAN, tôi tự hỏi liệu có thể chụp đồng thời trên tất cả các giao diện không.

Tôi đã sử dụng tcpdump trước đây nhưng nó chỉ thừa nhận một giao diện tại một thời điểm. Tôi có thể khởi chạy 3 tiến trình song song để chụp trên tất cả các giao diện nhưng sau đó tôi kết thúc với 3 tệp chụp khác nhau.

Cách đúng đắn để làm điều này là gì?

Theo trang người đàn ông tcpdump:

Trên các hệ thống Linux có hạt nhân 2.2 trở lên, có thể sử dụng đối số giao diện '' bất kỳ '' để chụp các gói từ tất cả các giao diện. Lưu ý rằng việc chụp trên thiết bị '' bất kỳ '' sẽ không được thực hiện ở chế độ lăng nhăng.

Vì vậy, bạn sẽ có thể chạy: tcpdump -i anyđể thu thập dữ liệu trên tất cả các giao diện cùng một lúc vào một tệp chụp.

Cách tôi sẽ tiếp cận điều này là kết xuất trên mỗi giao diện vào một tệp riêng biệt và sau đó hợp nhất chúng. Giao diện bất kỳ cũng bao gồm lưu lượng lo có thể gây ô nhiễm khi chụp.

Điều này cũng cho phép phân tích các luồng gói trên mỗi giao diện mà không cần lọc phức tạp.

Tôi sẽ chụp trong 3 thiết bị đầu cuối hoặc bằng cách chạy nền lệnh với &

Các cờ -nn tắt độ phân giải dns cho tốc độ, -s 0 lưu toàn bộ gói và -w ghi vào một tệp.

tcpdump -i wan0 -nn -s 0 -w wan0.dump
tcpdump -i wan1 -nn -s 0 -w wan1.dump
tcpdump -i lan0 -nn -s 0 -w lan0.dump

Sau đó tôi sẽ hợp nhất các tệp với lệnh mergecap từ wireshark:

mergecap -w merged.dump wan0.dump wan1.dump lan0.dump

Để chụp một tcpdump trên tất cả các giao diện, hãy sử dụng

tcpdump -i any