Câu trả lời:
Đối với trường hợp sử dụng này, tôi khuyên bạn chỉ nên chụp các gói đang cố khởi tạo các kết nối chứ không phải tất cả lưu lượng. Đó sẽ là bất cứ điều gì chỉ với bộ cờ SYN được đặt.
tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}
Tôi đã viết cái này chủ yếu từ trang người đàn ông tcpdump . Phần có nhãn "Chụp các gói TCP với các kết hợp cờ cụ thể (SYN-ACK, URG-ACK, v.v.)" đi sâu vào chi tiết ý nghĩa của các cờ (octet thứ 13 được đặt thành giá trị 2 là một SYN).
Ngoài ra, tôi không chắc bạn đang sử dụng giải pháp lọc gói nào nhưng bạn nên xem xét liệu nó có tiện ích ghi nhật ký hay không. Từ chối tất cả sau đó cho phép http / https / ssh và kiểm tra nhật ký để xem những gì khác đang bị chặn.
Nếu bằng cách đăng nhập các gói TCP gửi đi, bạn có nghĩa là ghi chúng vào đĩa theo định dạng PCAP, bạn có thể sử dụng lệnh sau:
$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp
Thay thế giao diện bằng giao diện của máy và địa chỉ IP bằng địa chỉ IP của máy. Tùy thuộc vào phiên bản tcpdump mà bạn đang sử dụng, như phiên bản cũ hơn, nếu bạn muốn ghi lại toàn bộ gói thay vì cắt bớt nó như 96 byte, bạn có thể thêm tùy chọn `` -s 0 '' để đặt snaplength thành không cắt bớt cái túi. Mặc dù, trên các phiên bản tcpdump gần đây, bạn có thể không cần những phiên bản này vì nó mặc định là 65535 trên hầu hết các nền tảng.