реклама на сайте
подробности
 
 Wiki Wiki  Photo Photo  Forum Forum  Reviews Reviews  Help (!) Help (!)
 
> вопрос про tcpdump, как настроить tcpdump только для входящего трафика?
neiro80
сообщение Oct 10 2012, 12:56
Сообщение #1


Участник
*

Группа: Участник
Сообщений: 27
Регистрация: 11-09-08
Пользователь №: 40 127
у tcpdump есть куча настроек по фильтрации.

блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр?

Сообщение отредактировал neiro80 - Oct 10 2012, 12:58
Go to the top of the page
 
+Quote Post
 
 Start new topic
Ответов
neiro80
сообщение Oct 11 2012, 13:28
Сообщение #2


Участник
*

Группа: Участник
Сообщений: 27
Регистрация: 11-09-08
Пользователь №: 40 127
что значит две стороны?

вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся?
собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets"


# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:11:88:0F:62:81
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:210 errors:0 dropped:0 overruns:0 frame:0
TX packets:219 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:532
RX bytes:50391 (49.2 KiB) TX bytes:104035 (101.5 KiB)
Interrupt:15

в целом наверно не стоит превращать в холивар такую глупую тему которая возникла из моего вопроса.

Сообщение отредактировал neiro80 - Oct 11 2012, 13:28
Go to the top of the page
 
+Quote Post
xemul
сообщение Oct 11 2012, 14:14
Сообщение #3



*****

Группа: Свой
Сообщений: 1 928
Регистрация: 11-07-06
Пользователь №: 18 731
Цитата(neiro80 @ Oct 11 2012, 17:28) *
что значит две стороны?

Значит, что pcap'у безразлично, по каким шнуркам к нему попал пакет, и что физический интерфейс и его программная модель - разные сущности.
Цитата
вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся?

Числа относятся к физическому интерфейсу.
Цитата
собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets"

Боюсь, tcpdump без подсказок не справится - не его это уровень. А предложенные подсказки Вам не нравятся. Беда.

ЗЫЖ сразу не обратил внимания на Вашу трактовку "входящий трафик это же не только трафик с адресом 192.168.1.10" фразы
Код
tcpdump -i eth0 src host not "192.168.1.10 or localhost"


чтобы не думать, можно
Код
tcpdump -i eth0 src host not "`hostname -s` or localhost"


Фраза означает, что на eth0 будут ловиться все пакеты, источниками которых являются не hostname и не его локальные сервисы.
Если на Вашем хосте живут своей жизнью джейлы, виртуальные машины етс., придётся подсказки немного усложнить.
Go to the top of the page
 
+Quote Post

Сообщений в этой теме
- neiro80   вопрос про tcpdump   Oct 10 2012, 12:56
- - Olej   Цитата(neiro80 @ Oct 10 2012, 15:56) у tc...   Oct 10 2012, 16:03
- - neiro80   так да. с этим фильтром я согласен. допустим пише...   Oct 11 2012, 10:32
- - xemul   man 1 tcpdump ЦитатаIf no expression is given, ...   Oct 11 2012, 10:50
|- - neiro80   Цитата(xemul @ Oct 11 2012, 14:50) man 1 ...   Oct 11 2012, 11:10
|- - xemul   Цитата(neiro80 @ Oct 11 2012, 15:10) хоте...   Oct 11 2012, 12:11
- - neiro80   tcpdump -i eth0 src host not "192.168.1.10 or...   Oct 11 2012, 12:36
|- - xemul   Цитата(neiro80 @ Oct 11 2012, 16:36) я мо...   Oct 11 2012, 12:51

 

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

RSS Текстовая версия Сейчас: 23rd August 2025 - 21:25
Рейтинг@Mail.ru


Страница сгенерированна за 0.01368 секунд с 7
ELECTRONIX ©2004-2016