Was ich tun muss (über 'tcpdump' über Linux):
• ECommerce App Server: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Dies ist, was ich erfassen möchte (gefiltert nach genau diesen IPs). Kein IP-Bereich (Subnetz) oder eine einzelne IP-Adresse, nur mehrere IP-Adressen / Server.
• Es gibt andere Anwendungen in diesem Bereich, z. B. PayRoll App ist auf 192.168.1.5 und ich möchte keinen dieser Daten in meiner Erfassung sehen.
Ich habe versucht:
tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000
und auch:
tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000
Beide geben Syntaxfehler zurück.
Jede Hilfe wird sehr geschätzt.
Antworten:
Die grundlegende Syntax in Ihrem Fall wäre
Das
<filters>würde sich auf so etwas ausweitenWenn Ihre E-Commerce-Anwendung die Ports 80 und 443 für die Kommunikation verwenden würde. Die einfachen Anführungszeichen sind wichtig, andernfalls werden in Ihrer Shell möglicherweise die Klammern () angezeigt, die für die Gruppierung von Parametern als Sonderzeichen wichtig sind.
Das Hinzufügen von -v- und -n-Parametern am Anfang (
tcpdump -v -n -i ...) würde die Ausgabe ausführlicher machen und die Namensauflösung deaktivieren (beschleunigt die Ausgabe).quelle
tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcapquelle