TCPDUMP-여러 IP 주소에서 패킷 캡처 (필터)

9

내가해야 할 일 (Linux를 통한 'tcpdump'를 통해) :

• 전자 상거래 앱 서버 : 192.168.1.2, 192.168.1.3, 192.168.1.4. - 이것은 내가 캡처하고자하는 것입니다 (이 정확한 IP로 필터링 됨). IP 범위 (서브넷) 또는 개별 IP 주소가 아니라 여러 IP 주소 / 서버 만 있습니다.

•이 범위 내에 다른 응용 프로그램이 있습니다. 예를 들어 PayRoll App은 192.168.1.5에 있으며 캡처에서이 트래픽을보고 싶지 않습니다.

나는 시도했다 :

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

그리고 또한:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

둘 다 구문 오류를 반환합니다.

도움을 주시면 감사하겠습니다.

tcpdump 
데릭
소스
tcpdump -D 트래픽을 캡처 할 인터페이스가 확실하지 않은 경우 모든 인터페이스를 나열합니다. 시도한 내용에 따라 0이 버릴 수 있습니다. 호스트를 나열 할 때 "/ tmp"및 ""도 있습니다. 호스트를 나열하기 위해 ""가 필요하지는 않지만 디렉토리 나 옵션 전에 인터페이스를 지정해야합니다.
인젝터

답변:

15

귀하의 경우 기본 구문은

tcpdump -i <interface to capture on> <filters>

<filters>같은으로 확장 할

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

전자 상거래 응용 프로그램이 통신에 포트 80 및 443을 사용하는 경우. 작은 따옴표가 중요합니다. 그렇지 않으면 쉘에서 매개 변수를 특수 문자로 그룹화하는 데 중요한 대괄호 ()를 볼 수 있습니다.

시작 부분에 -v 및 -n 매개 변수를 tcpdump -v -n -i ...추가하면 출력에 자세한 정보가 추가되고 이름 확인이 비활성화됩니다 (출력 속도 향상).

토끼
소스
-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

마린
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.