Saya perlu menangkap lalu lintas di server CentOS 5 yang bertindak sebagai proxy web dengan 2 antarmuka lemah dan 1 LAN. Untuk memecahkan masalah proxy yang aneh, saya ingin menangkap percakapan penuh. Karena koneksi eksternal seimbang antara dua antarmuka WAN, saya bertanya-tanya apakah mungkin untuk menangkap secara bersamaan pada semua antarmuka.
Saya telah menggunakan tcpdump sebelumnya tetapi hanya mengakui satu antarmuka sekaligus. Saya dapat meluncurkan 3 proses paralel untuk menangkap pada semua antarmuka tetapi kemudian saya berakhir dengan 3 file tangkapan yang berbeda.
Apa cara yang benar untuk melakukan ini?
wireshark
.Jawaban:
Menurut halaman manual tcpdump:
Pada sistem Linux dengan kernel 2.2 atau yang lebih baru, argumen antarmuka '' any '' dapat digunakan untuk menangkap paket dari semua antarmuka. Perhatikan bahwa menangkap pada perangkat '' apa saja '' tidak akan dilakukan dalam mode promiscuous.
Jadi, Anda harus dapat menjalankan:
tcpdump -i any
untuk mengambil data pada semua antarmuka secara bersamaan menjadi satu file tangkap.sumber
Cara saya mendekati ini adalah dengan membuang di setiap antarmuka ke file terpisah dan kemudian menggabungkannya. Antarmuka apa pun juga mencakup lalu lintas lo yang dapat mencemari penangkapan.
Ini juga memungkinkan untuk analisis aliran paket per antarmuka tanpa penyaringan yang kompleks.
Saya akan menangkap di 3 terminal atau dengan latar belakang perintah dengan &
Bendera -nn mematikan resolusi dns untuk kecepatan, -s 0 menyimpan paket lengkap dan -w menulis ke file.
Saya kemudian akan menggabungkan file dengan perintah mergecap dari wireshark:
sumber
Untuk menangkap tcpdump di semua antarmuka gunakan
sumber