TCPDUMP - Menangkap Paket di Banyak Alamat IP (Penyaring)

9

Apa yang perlu saya lakukan (melalui 'tcpdump' melalui Linux):

• Server Aplikasi ECommerce: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Ini yang ingin saya tangkap (difilter pada IP yang tepat ini). Bukan rentang IP (subnet) atau alamat IP individual, hanya beberapa alamat IP / server.

• Ada aplikasi lain dalam kisaran ini, mis. Aplikasi PayRoll ada di 192.168.1.5, dan saya tidak ingin melihat lalu lintas ini dalam tangkapan saya.

Saya sudah mencoba:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

dan juga:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Keduanya mengembalikan kesalahan sintaksis.

Bantuan apa pun sangat kami hargai.

tcpdump Derek
sumber
Anda juga dapat mencoba: tcpdump -D Ini akan mencantumkan semua antarmuka, jika Anda tidak yakin antarmuka apa yang digunakan untuk menangkap lalu lintas. Berdasarkan apa yang telah Anda coba, tampaknya 0 mungkin membuangnya. Juga "/ tmp" dan "" saat mendaftar host. Anda tidak perlu "" mendaftar host, tetapi Anda harus menentukan antarmuka sebelum direktori atau opsi.
injektor

Jawaban:

15

sintaks dasar dalam kasus Anda adalah

tcpdump -i <interface to capture on> <filters>

The <filters>akan memperluas untuk sesuatu seperti

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

jika aplikasi eCommerce Anda akan menggunakan port 80 dan 443 untuk komunikasi. Kutipan tunggal itu penting, jika tidak, shell Anda mungkin melihat tanda kurung () yang penting untuk mengelompokkan parameter sebagai karakter khusus.

menambahkan parameter -v dan -n di awal ( tcpdump -v -n -i ...) akan menambah verbositas ke output dan menonaktifkan resolusi nama (mempercepat output)

the-wabbit
sumber
-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

marin
sumber