TCPDUMP-複数のIPアドレスでのパケットのキャプチャ(フィルター)

9

私がしなければならないこと(Linux経由の 'tcpdump'経由):

•eコマースアプリサーバー:192.168.1.2、192.168.1.3、192.168.1.4。- これは私がキャプチャしたいものです(これらの正確なIPでフィルタリングされています)。IP範囲(サブネット)または個別のIPアドレスではなく、いくつかのIPアドレス/サーバーのみ。

•この範囲内には他のアプリケーションがあります。たとえば、PayRollアプリは192.168.1.5上にあり、キャプチャにこのトラフィックを表示したくありません。

私は試しました:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

そしてまた:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

どちらも構文エラーを返します。

どんな助けでも大歓迎です。

tcpdump 
デレク
ソース
トラフィックをキャプチャするインターフェイスがわからない場合は、tcpdump -Dを実行すると、すべてのインターフェイスが一覧表示されます。あなたが試みたものに基づいて、それは0がそれを捨てているかもしれないようです。ホストをリストするときの「/ tmp」と「」も。ホストをリストするために ""は必要ありませんが、ディレクトリまたはオプションの前にインターフェイスを指定する必要があります。
インジェクター

回答:

15

あなたのケースの基本的な構文は

tcpdump -i <interface to capture on> <filters>

<filters>ようなものに拡張されます

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

eコマースアプリケーションがポート80と443を通信に使用する場合。一重引用符は重要です。それ以外の場合、シェルではパラメーターを特殊文字としてグループ化するために重要な角括弧()が表示されることがあります。

最初に-vおよび-nパラメータをtcpdump -v -n -i ...追加すると()、出力に冗長性が追加され、名前解決が無効になります(出力を高速化します)。

the-wabbit
ソース
-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

マリン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.