TCP-Dump ausgehende Verbindungspakete

8

Wie lautet die Befehlssyntax zum Protokollieren aller TCP-Verbindungspakete?

Ich versuche zu sehen, welche Adresse und welche Ports mein Computer versucht, eine Verbindung zu ausgehenden Verbindungen herzustellen, damit ich meine Firewall konfigurieren kann.

James
quelle

Antworten:

11

Für diesen Anwendungsfall würde ich vorschlagen, nur die Pakete zu erfassen, die versuchen, Verbindungen herzustellen, und nicht den gesamten Datenverkehr. Das wäre alles, wenn nur das SYN-Flag gesetzt wäre.

tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}

Ich habe dies meistens von der tcpdump-Manpage abgeschnitten . Der Abschnitt "Erfassen von TCP-Paketen mit bestimmten Flag-Kombinationen (SYN-ACK, URG-ACK usw.)" beschreibt detailliert, was die Flags bedeuten (das auf einen Wert von 2 gesetzte 13. Oktett ist ein SYN).

Ich bin mir auch nicht sicher, welche Paketfilterlösung Sie verwenden, aber Sie sollten prüfen, ob sie über eine Protokollierungsfunktion verfügt. Standardmäßig alle verweigern, dann http / https / ssh zulassen und die Protokolle überprüfen, um festzustellen, was sonst noch blockiert wird.

Echdee
quelle
Ich bin wütend auf meine Protokollierungssituation. Ich verwende PF als meine Brandmauer als Standard unter OSX, aber es werden keine Protokolle protokolliert oder Protokolle aktiviert, wie dies bei BSD der Fall ist, und ich kann nicht herausfinden, was es tut. Deshalb schaue ich sogar in tcpdump = /
James
Vielen Dank, dass Sie den Filter tcp [13] == 2 verwenden, der viel informativer ist als das einfache Setzen des Flags.
James
4

Wenn Sie mit dem Protokollieren der ausgehenden TCP-Pakete meinen, sie im PCAP-Format auf die Festplatte zu schreiben, können Sie den folgenden Befehl verwenden:

$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp

Ersetzen Sie die Schnittstelle durch die Schnittstelle Ihres Geräts und die IP-Adresse durch die IP-Adresse Ihres Geräts. Abhängig von der Version von tcpdump, die Sie wie eine ältere Version verwenden, können Sie die Option "-s 0" hinzufügen, wenn Sie das gesamte Paket aufzeichnen möchten, anstatt es wie 96 Byte abzuschneiden, wodurch die Snaplength so eingestellt wird, dass sie nicht abgeschnitten wird das Paket. In neueren tcpdump-Versionen benötigen Sie diese wahrscheinlich nicht, da sie auf den meisten, wenn nicht allen Plattformen standardmäßig 65535 sind.

jonschipp
quelle
65535 ist gepolstert, nur Neugier. Zumindest danke, ich kann wissen, dass etwas passiert.
James