TCPDUMP-捕获多个IP地址上的数据包(过滤器)

9

我需要做的事情(通过Linux的“ tcpdump”):

•电子商务应用服务器:192.168.1.2、192.168.1.3、192.168.1.4。- 这就是我要捕获的内容(已过滤这些确切的IP)。不是IP范围(子网)或单个IP地址,而是几个IP地址/服务器。

•此范围内还有其他应用程序,例如PayRoll App位于192.168.1.5上,我不想在捕获中看到任何此类流量。

我尝试过:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

并且:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

两者都返回语法错误。

任何帮助深表感谢。

tcpdump 
德里克
source
您也可以尝试:tcpdump -D如果您不确定要捕获流量的接口,它将列出所有接口。根据您的尝试,似乎0可能会抛出它。列出主机时,还包括“ / tmp”和“”。您不需要“”来列出主机,但是您确实需要在目录或选项之前指定接口。
喷油嘴

Answers:

15

你的情况的基本语法是

tcpdump -i <interface to capture on> <filters>

<filters>会扩大到像

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

如果您的电子商务应用程序将使用端口80和443进行通信。单引号很重要,否则您的外壳可能会看到括号(),这对于将参数分组为特殊字符很重要。

在开头(tcpdump -v -n -i ...)添加-v和-n参数将为输出增加详细程度,并禁用名称解析(加快输出速度)

沃比特人
source
-1

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap

马林
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.