TCPDUMP - Capturando pacotes em vários endereços IP (FIlter)

Navegue suas respostas
6

O que eu preciso fazer (via 'tcpdump' pelo Linux):

• Servidores de aplicativos de comércio eletrônico: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Isso é o que eu quero capturar em (filtrado nesses IPs exatos). Não é um intervalo de IP (sub-rede) ou um endereço IP individual, apenas vários endereços IP / servidores.

• Existem outras aplicações dentro deste intervalo, por ex. PayRoll App está em 192.168.1.5, e eu não quero ver nenhum deste tráfego na minha captura.

Já experimentei: 

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

e também: 

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Ambos retornam erros de sintaxe.

Qualquer ajuda é muito apreciada.

    
por Derek 14.06.2011 / 11:05

2 respostas

10

a sintaxe básica no seu caso seria 

tcpdump -i <interface to capture on> <filters>

O <filters> seria expandido para algo como 

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

se o seu aplicativo eCommerce usasse as portas 80 e 443 para comunicações. As aspas simples são importantes, caso contrário, seu shell pode ver os colchetes (), que são importantes para agrupar parâmetros como caracteres especiais.

adicionar os parâmetros -v e -n no início ( tcpdump -v -n -i ... ) adicionaria verbosidade à saída e desabilitaria a resolução de nomes (acelera a saída)

    
por 14.06.2011 / 11:16
-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

    
por 27.07.2018 / 17:24

Tags

Qual comando do Linux eu digitei para ver meu servidor MySQL carregar em tempo real? Controladores HP SmartArray RAID - Diferenças de driver do Linux (cciss versus hpsa)