Çoklu arayüzlerde tcpdump

Ben 2 wan arayüzleri ve 1 LAN ile bir web proxy gibi davranan bir CentOS 5 sunucusunda trafik yakalamak gerekir. Tuhaf bir proxy sorununu gidermek için tam bir ileti dizisinin yakalanmasını istiyorum. Harici bağlantılar iki WAN arayüzü arasında dengelendiğinden, tüm arayüzlerde aynı anda yakalamanın mümkün olup olmadığını merak ediyorum.

Daha önce tcpdump kullanmıştım ama bir seferde sadece bir arayüzü kabul ediyor. Tüm arabirimlerde yakalamak için 3 paralel işlem başlatabilirim ancak daha sonra 3 farklı yakalama dosyası elde ederim.

Bunu yapmanın doğru yolu nedir?

Tcpdump man sayfasına göre:

2.2 veya üzeri çekirdekli Linux sistemlerinde, tüm arayüzlerden paketleri yakalamak için '' herhangi bir '' arayüz argümanı kullanılabilir. '' Herhangi '' cihazdaki yakalamaların karışık modda yapılmayacağını unutmayın.

Bu nedenle şunları çalıştırabilmelisiniz: tcpdump -i anyTüm arabirimlerdeki verileri aynı anda tek bir yakalama dosyasına yakalamak için.

Buna yaklaşacağım yol, her arabirime ayrı bir dosyaya dökülüp onları birleştirmektir. Herhangi bir arabirim ayrıca yakalamayı kirletebilecek trafik içerir.

Bu ayrıca karmaşık filtreleme olmadan arabirim başına paket akışlarının analizine izin verir.

3 terminalde veya komut ile &

-Nn bayrakları hız için dns çözünürlüğünü kapatır, -s 0 tam paketi kaydeder ve -w bir dosyaya yazar.

tcpdump -i wan0 -nn -s 0 -w wan0.dump
tcpdump -i wan1 -nn -s 0 -w wan1.dump
tcpdump -i lan0 -nn -s 0 -w lan0.dump

Sonra wireshark mergecap komutu ile dosyaları birleştirmek istiyorsunuz:

mergecap -w merged.dump wan0.dump wan1.dump lan0.dump

Tüm arabirimlerde bir tcpdump yakalamak için kullanın

tcpdump -i any