Como @blametheadmin mencionado em um comentário, você pode usar tshark. Outra opção é tcpdump :
$ tcpdump -w trace.out host <hostname-or-ip>
Em seguida, você poderá examinar esse rastreio com:
$ tcpdump -r trace.out
Gostaria de saber como monitorar o tráfego tcp entre meu localhost e o endereço IP mantendo as atividades em um arquivo. Eu tentei iftop e tcptrack mas não consigo manter atividades em um arquivo. Essas ferramentas não têm como alvo um endereço IP específico, elas apenas monitoram a interface:
iftop -i eth2 -f "dst port 22"
Eu tentei colocar o endereço IP no lugar de dst , mas não funciona.
A ideia é detectar qualquer tráfego suspeito
Obrigado pela ajuda
Você pode usar iftop para fazer relatórios de uso de largura de banda, conforme explicado na resposta este serverfault , usando o -t e -s switches:
-t use text interface without ncurses
-s num print one single text output afer num seconds, then quit
-L num number of lines to print
Requer a versão iftop-1.0pre3 (2014-01-01) do iftop. No seu caso, o exemplo a seguir deve fazer o truque para capturar 5 horas de tráfego de um host de origem específico:
iftop -i eth2 -f "src host x.y.w.z" -t -s 18000 > log.txt &
Se você quiser que o filtro obtenha x.y.w.z como destino, use dest ou use apenas host sem prefixos se quiser filtrar os dois lados.