TCPDUMP - przechwytywanie pakietów na wiele adresów IP (filtr)

9

Co muszę zrobić (przez 'tcpdump' przez Linux):

• Serwery aplikacji e-commerce: 192.168.1.2, 192.168.1.3, 192.168.1.4. - To właśnie chcę uchwycić (przefiltrowane według tych dokładnych adresów IP). Nie zakres IP (podsieć) ani pojedynczy adres IP, tylko kilka adresów IP / serwerów.

• Istnieją inne aplikacje w tym zakresie, np. Aplikacja PayRoll znajduje się na 192.168.1.5 i nie chcę, aby mój ruch przechwytywał w moim przechwytywaniu.

Próbowałem:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

i również:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Oba zwracają błędy składniowe.

Każda pomoc jest mile widziana.

tcpdump Derek
źródło
Możesz także spróbować: tcpdump -D Spowoduje to wyświetlenie listy wszystkich interfejsów, jeśli nie jesteś pewien, w jakim interfejsie przechwytywać ruch. Na podstawie tego, co próbowałeś, wydaje się, że 0 może go wyrzucić. Również „/ tmp” i „” podczas wyświetlania listy hostów. Nie powinieneś potrzebować "", aby wyświetlić listę hostów, ale musisz określić interfejs przed katalogami lub opcjami.
wtryskiwacz

Odpowiedzi:

15

podstawowa składnia w twoim przypadku to

tcpdump -i <interface to capture on> <filters>

<filters>Rozwinie się do czegoś podobnego

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

jeśli aplikacja eCommerce użyje portów 80 i 443 do komunikacji. Pojedyncze cudzysłowy są ważne, w przeciwnym razie twoja powłoka może zobaczyć nawiasy kwadratowe (), które są ważne dla grupowania parametrów jako znaków specjalnych.

dodanie parametrów -v i -n na początku ( tcpdump -v -n -i ...) spowodowałoby zwiększenie szczegółowości danych wyjściowych i wyłączenie rozpoznawania nazw (przyspieszenie danych wyjściowych)

the-wabbit
źródło
-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

marin
źródło