TCPDUMP - Birden Fazla IP Adresinde Paket Yakalama (FIlter)

9

Ne yapmam gerekiyor (Linux üzerinden 'tcpdump' aracılığıyla):

• ECommerce Uygulama Sunucuları: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Bu yakalamak istiyorum (bu kesin IP'lere filtre). Bir IP aralığı (alt ağ) veya tek bir IP adresi değil, yalnızca birkaç IP adresi / sunucusu.

• Bu aralık dahilinde başka uygulamalar da vardır, örneğin PayRoll Uygulaması 192.168.1.5 açıktır ve yakaladığımda bu trafiğin hiçbirini görmek istemiyorum.

Denedim:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

ve ayrıca:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Her ikisi de sözdizimi hatalarını döndürür.

Herhangi bir yardım çok takdir edilmektedir.

tcpdump

— derek
kaynak

Bunu da deneyebilirsiniz: tcpdump -D Trafiği yakalamak için hangi arabirimden emin değilseniz, tüm arabirimleri listeler. Denediklerinize dayanarak, 0'ın attığı görülüyor. Ayrıca ana bilgisayarları listelerken "/ tmp" ve "". Ana bilgisayarları listelemek için "" gerekmez, ancak dizinlerden veya seçeneklerden önce arayüzü belirtmeniz gerekir.

— enjektör

15

davanızdaki temel sözdizimi

tcpdump -i <interface to capture on> <filters>

<filters>Gibi bir şey kadar genişleyip

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

e-Ticaret uygulamanız iletişim için 80 ve 443 numaralı bağlantı noktalarını kullanırsa. Tek tırnak işaretleri önemlidir, aksi takdirde kabuğunuz parametreleri özel karakterler olarak gruplamak için önemli olan köşeli parantezleri () görebilir.

başında -v ve -n parametreleri tcpdump -v -n -i ...eklemek ( ) çıktıya ayrıntı ekler ve ad çözümlemesini devre dışı bırakır (çıktıyı hızlandırır)

— -tavşansın
kaynak

-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

— marin
kaynak