у tcpdump есть куча настроек по фильтрации.

блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр?

Сообщение отредактировал neiro80 - Oct 10 2012, 12:58

http://www.linuxcenter.ru/lib/articles/net...pdump_mon.phtml

Ваш фильтр :


Вот ещё короткая шпаргалка: http://www.k-max.name/linux/tcpdump-v-primerax/

Этого обычно достаточно.

P.S. Используйте Wireshark ... только не "вместо", а "в дополнение".

так да. с этим фильтром я согласен.

допустим пишем так:
tcpdump -i eth0 dst host 192.168.1.10

это будет означать что принимать пакеты только с адреса 192.168.1.10

а как указать что принимать все входящие пакеты, независимо от кого они...

вроде очевидная вещь... но как?

man 1 tcpdump

Соответственно

будет достаточно.

как мне кажется есть два типа трафика применительно к порту это входящий и исходящий.
- покажет весь трафик. ( и входящий и исходящий)

хотелось бы настроить фильтр на отображение только входящего трафика.

Сообщение отредактировал neiro80 - Oct 11 2012, 11:13

tcpdump -i eth0 src host not "192.168.1.10 or localhost"
(если у хоста более одного сетевого интерфейса, то проще указать имя хоста, а не адрес)

tcpdump -i eth0 src host not "192.168.1.10 or localhost" - так получается что это частный случай для фильтра входящего трафика.

входящий трафик это же не только трафик с адресом 192.168.1.10.

я может повторюсь )
проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен.

Сообщение отредактировал neiro80 - Oct 11 2012, 12:38

Когда догадаетесь, что у интерфейса две стороны, и с каждой есть входящий трафик, можно будет продолжить не повторяясь.

что значит две стороны?

вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся?
собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets"


# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:11:88:0F:62:81
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:210 errors:0 dropped:0 overruns:0 frame:0
TX packets:219 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:532
RX bytes:50391 (49.2 KiB) TX bytes:104035 (101.5 KiB)
Interrupt:15

в целом наверно не стоит превращать в холивар такую глупую тему которая возникла из моего вопроса.

Сообщение отредактировал neiro80 - Oct 11 2012, 13:28

Значит, что pcap'у безразлично, по каким шнуркам к нему попал пакет, и что физический интерфейс и его программная модель - разные сущности.

Числа относятся к физическому интерфейсу.

Боюсь, tcpdump без подсказок не справится - не его это уровень. А предложенные подсказки Вам не нравятся. Беда.

ЗЫЖ сразу не обратил внимания на Вашу трактовку "входящий трафик это же не только трафик с адресом 192.168.1.10" фразы


чтобы не думать, можно


Фраза означает, что на eth0 будут ловиться все пакеты, источниками которых являются не hostname и не его локальные сервисы.
Если на Вашем хосте живут своей жизнью джейлы, виртуальные машины етс., придётся подсказки немного усложнить.