TCPDUMP - Acquisizione di pacchetti su più indirizzi IP (FIlter)

9

Cosa devo fare (tramite 'tcpdump' tramite Linux):

• Server di app e-commerce: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Questo è ciò su cui voglio acquisire (filtrato su questi IP esatti). Non un intervallo IP (sottorete) o un singolo indirizzo IP, solo diversi indirizzi / server IP.

• Esistono altre applicazioni in questo intervallo, ad esempio l'app PayRoll è 192.168.1.5 e non voglio vedere questo traffico nella mia acquisizione.

Ho provato:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

e anche:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Entrambi restituiscono errori di sintassi.

Ogni aiuto è molto apprezzato.

tcpdump

— Derek
fonte

Puoi anche provare: tcpdump -D Questo elencherà tutte le interfacce, se non sei sicuro su quale interfaccia catturare il traffico. Sulla base di ciò che hai provato, sembra che lo 0 potrebbe essere buttato via. Anche "/ tmp" e "" quando si elencano gli host. Non è necessario "" per elencare gli host, ma è necessario specificare l'interfaccia prima delle directory o delle opzioni.

— iniettore l'

15

la sintassi di base nel tuo caso sarebbe

tcpdump -i <interface to capture on> <filters>

Il <filters>si espanderebbe a qualcosa di simile

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

se l'applicazione eCommerce utilizza le porte 80 e 443 per le comunicazioni. Le virgolette singole sono importanti, altrimenti la shell potrebbe vedere le parentesi () che sono importanti per raggruppare i parametri come caratteri speciali.

l'aggiunta di -v e -n all'inizio ( tcpdump -v -n -i ...) aggiungerebbe verbosità all'output e disabiliterebbe la risoluzione dei nomi (accelera l'output)

— the-Wabbit
fonte

-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

— marin
fonte