선택한 tcp 패킷을 기록하는 방법

내부 Linux 게이트웨이 및 다른 여러 시스코 라우터 / 스위치를 통과하면서 긴 TCP 트랜잭션 (& gt; = 60s)이 내 소스 (A 지점)와 목적지 (B 지점) 사이에서 연결이 끊어지는 문제를 해결하고 있습니다.

이 문제를 더 자세히 조사하려면 TCP 로깅을 활성화하고 근본 원인 분석을 용이하게해야합니다. 그러나 사용 가능한 디스크 공간이 매우 부족하여 원하는만큼이 로깅을 수행 할 수 없습니다. 따라서 선택된 TCP 패킷에 대해서만 TCP 로깅을 활성화하는 방법이 있는지 알고 싶습니다. 그 사이에 게이트웨이와 중간 네트워크 장치 모두에서 로깅을 활성화해야합니다.

특히 Point A가 Point B 또는 그 사이에있는 다른 장치로부터 FIN 패킷을 수신했는지 조사 중이며, 트랜잭션이 완료 될 때까지 60 분이 넘게 걸리면 위에서 언급 한 연결이 끊어집니다.

tcpdump 당신의 친구입니다. 로부터 pcap-filter 맨 페이지 :

시작과 끝 패킷 (SYN과 FIN 패킷)을 선택하려면   비 로컬 호스트를 포함하는 각 TCP 대화.

tcp [tcpflags] & amp; (tcp-syn | tcp-fin)! = 0이 아니라 src 및 dst net localnet

그래서, tcpdump -ieth0 filter_expression 당신이 필요로하는 것을 당신에게 주어야합니다. 같은 것을 추가 할 수 있습니다. and host a.b.c.d and port efg 캡처를 훨씬 더 제한 할 수 있습니다. 같은 필터 표현식을 다음과 같이 사용할 수 있어야합니다. 와이어 샤크 당신이 GUI 프로그램을 선호한다면.