у tcpdump есть куча настроек по фильтрации.
блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр?
Полная версия этой страницы: вопрос про tcpdump
Форум разработчиков электроники ELECTRONIX.ru > Cистемный уровень проектирования > Операционные системы > Linux
Цитата(neiro80 @ Oct 10 2012, 15:56) 
у tcpdump есть куча настроек по фильтрации.
блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр?
блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр?
http://www.linuxcenter.ru/lib/articles/net...pdump_mon.phtml
Ваш фильтр :
Код
dst host host
Вот ещё короткая шпаргалка: http://www.k-max.name/linux/tcpdump-v-primerax/
Этого обычно достаточно.
P.S. Используйте Wireshark ... только не "вместо", а "в дополнение".
так да. с этим фильтром я согласен.
допустим пишем так:
tcpdump -i eth0 dst host 192.168.1.10
это будет означать что принимать пакеты только с адреса 192.168.1.10
а как указать что принимать все входящие пакеты, независимо от кого они...
вроде очевидная вещь... но как?
допустим пишем так:
tcpdump -i eth0 dst host 192.168.1.10
это будет означать что принимать пакеты только с адреса 192.168.1.10
а как указать что принимать все входящие пакеты, независимо от кого они...
вроде очевидная вещь... но как?
man 1 tcpdump
Соответственно
будет достаточно.
Цитата
If no expression is given, all packets on the net will be dumped.
Соответственно
Код
tcpdump -i eth0
будет достаточно.
Цитата(xemul @ Oct 11 2012, 14:50)
man 1 tcpdump
Соответственно
будет достаточно.
Соответственно
Код
tcpdump -i eth0
будет достаточно.
как мне кажется есть два типа трафика применительно к порту это входящий и исходящий.
Код
tcpdump -i eth0
- покажет весь трафик. ( и входящий и исходящий)хотелось бы настроить фильтр на отображение только входящего трафика.
Цитата(neiro80 @ Oct 11 2012, 15:10)
хотелось бы настроить фильтр на прием только входящего трафика.
tcpdump -i eth0 src host not "192.168.1.10 or localhost"
(если у хоста более одного сетевого интерфейса, то проще указать имя хоста, а не адрес)
tcpdump -i eth0 src host not "192.168.1.10 or localhost" - так получается что это частный случай для фильтра входящего трафика.
входящий трафик это же не только трафик с адресом 192.168.1.10.
я может повторюсь )
проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен.
входящий трафик это же не только трафик с адресом 192.168.1.10.
я может повторюсь )
проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен.
Цитата(neiro80 @ Oct 11 2012, 16:36)
я может повторюсь )
проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен.
проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен.
Когда догадаетесь, что у интерфейса две стороны, и с каждой есть входящий трафик, можно будет продолжить не повторяясь.
что значит две стороны?
вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся?
собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets"
# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:11:88:0F:62:81
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:210 errors:0 dropped:0 overruns:0 frame:0
TX packets:219 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:532
RX bytes:50391 (49.2 KiB) TX bytes:104035 (101.5 KiB)
Interrupt:15
в целом наверно не стоит превращать в холивар такую глупую тему которая возникла из моего вопроса.
вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся?
собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets"
# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:11:88:0F:62:81
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:210 errors:0 dropped:0 overruns:0 frame:0
TX packets:219 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:532
RX bytes:50391 (49.2 KiB) TX bytes:104035 (101.5 KiB)
Interrupt:15
в целом наверно не стоит превращать в холивар такую глупую тему которая возникла из моего вопроса.
Цитата(neiro80 @ Oct 11 2012, 17:28)
что значит две стороны?
Значит, что pcap'у безразлично, по каким шнуркам к нему попал пакет, и что физический интерфейс и его программная модель - разные сущности.
Цитата
вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся?
Числа относятся к физическому интерфейсу.
Цитата
собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets"
Боюсь, tcpdump без подсказок не справится - не его это уровень. А предложенные подсказки Вам не нравятся. Беда.
ЗЫЖ сразу не обратил внимания на Вашу трактовку "входящий трафик это же не только трафик с адресом 192.168.1.10" фразы
Код
tcpdump -i eth0 src host not "192.168.1.10 or localhost"
чтобы не думать, можно
Код
tcpdump -i eth0 src host not "`hostname -s` or localhost"
Фраза означает, что на eth0 будут ловиться все пакеты, источниками которых являются не hostname и не его локальные сервисы.
Если на Вашем хосте живут своей жизнью джейлы, виртуальные машины етс., придётся подсказки немного усложнить.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.