Farejar pacotes vendo o nome da interface e a bandeira de entrada / saída

Navegue suas respostas
0

Estou tentando monitorar meu tráfego e instalar o WireShark como a ferramenta mais recomendada no Linux.

No entanto, não encontrei uma maneira segura de ver se o pacote está entrando ou saindo e exibindo o nome da interface (mesmo na interface de detalhes dos pacotes é sempre 0). Eu posso adivinhar essa informação por ip, mas eu quero informações exatas e não quero estar enganado. Interfaces no modo promiscuous já.

Por exemplo após ping localhost com monitoramento SNAT WireShark any interface ( Linux-cooked cabeçalho da camada de enlace) fornece uma entrada de solicitação com 

Internet Protocol Version 4, Src: 192.168.1.4, Dst: 127.0.0.1

e responda:

Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1

onde duas interfaces estão envolvidas e há dois pacotes distintos para cada solicitação e responder IMHO. Não consigo ver detalhes específicos do SNAT sem informações detalhadas.

Existem configurações / maneiras de ver

interface+in/out

info no WireShark? Se não, como você aconselha a cheirar / monitorar?

    
por Alexei Martianov 25.03.2018 / 05:58

2 respostas

3

Wireshark e suas ferramentas de captura de linha de comando tshark e dumpcap permite que você especifique várias interfaces para capturar. Então, por exemplo, em vez de especificar -i any e acabar com um Linux Cooked Capture, você pode especificar -i eth0 -i lo para capturar em ambas as interfaces sem perder a interface por em formação. Com o Wireshark, apenas Ctrl + clique em cada interface que você deseja capturar na página principal ou no menu Capture- > Opções .

E como você está capturando em mais de uma interface, cada interface recebe um ID de interface diferente que é adicionado aos dados do quadro e pode até mesmo ser usado para filtrar pacotes usando frame.interface_id filtro de exibição. Por exemplo, se você deseja apenas ver os quadros para o ID da interface 0, use frame.interface_id == 0 . Você também pode adicionar esse campo como uma coluna para ver com mais facilidade qual quadro está associado a qual interface.

    
por 26.03.2018 / 01:44
0

você pode simplesmente usar o comando tcpdump para monitorar seus pacotes recebidos ou enviados. 

tcpdump -i eth0 (Here you need to specify that which port you want to monitor)

E para visualização com IP remoto com tamanho de pacote você pode instalar NTOP Tool no seu servidor linux

    
por 25.03.2018 / 06:23

Tags

VMware Fusion vários usuários ao mesmo tempo O que é esse layout de teclado canadense bilíngue e como usá-lo?