tcp descarrega pacotes de conexão de saída

Para este caso de uso, sugiro capturar somente os pacotes que tentam iniciar conexões, em vez de todo o tráfego. Isso seria qualquer coisa com apenas o conjunto de bandeiras SYN.

tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}

Eu compilei isso principalmente da página de manual do tcpdump . A seção rotulada "Capturando pacotes TCP com determinadas combinações de sinalizadores (SYN-ACK, URG-ACK, etc.)" detalha o significado dos sinalizadores (13º octeto configurado para um valor 2 é um SYN).

Além disso, não tenho certeza de qual solução de filtragem de pacotes você está usando, mas você deve verificar se possui ou não um recurso de registro. O padrão nega tudo, então permita http / https / ssh e verifique os logs para ver o que mais está sendo bloqueado.

Se por log os pacotes TCP de saída que você quer dizer escrever no disco no formato PCAP, você pode usar o seguinte comando:

$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp

Substitua a interface com a interface da sua máquina e o endereço IP com o endereço IP da sua máquina. Dependendo da versão do tcpdump que você está usando, como um antigo, se você quiser gravar o pacote inteiro em vez de truncá-lo como 96 bytes, você pode adicionar a opção '' -s 0 '', que define o tamanho da snaplength para não truncar o pacote. No entanto, nas versões recentes do tcpdump você provavelmente não precisa deles, já que o padrão é 65535 na maioria das plataformas, se não todas.