neiro80 0 10 октября, 2012 Опубликовано 10 октября, 2012 (изменено) · Жалоба у tcpdump есть куча настроек по фильтрации. блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр? Изменено 10 октября, 2012 пользователем neiro80 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Olej 0 10 октября, 2012 Опубликовано 10 октября, 2012 · Жалоба у tcpdump есть куча настроек по фильтрации. блин, казалось бы очень простая вещь. Нужно отслеживать только входящий трафик. как настроить такой фильтр? http://www.linuxcenter.ru/lib/articles/net...pdump_mon.phtml Ваш фильтр : dst host host Вот ещё короткая шпаргалка: http://www.k-max.name/linux/tcpdump-v-primerax/ Этого обычно достаточно. P.S. Используйте Wireshark ... только не "вместо", а "в дополнение". Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
neiro80 0 11 октября, 2012 Опубликовано 11 октября, 2012 · Жалоба так да. с этим фильтром я согласен. допустим пишем так: tcpdump -i eth0 dst host 192.168.1.10 это будет означать что принимать пакеты только с адреса 192.168.1.10 а как указать что принимать все входящие пакеты, независимо от кого они... вроде очевидная вещь... но как? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
xemul 0 11 октября, 2012 Опубликовано 11 октября, 2012 · Жалоба man 1 tcpdump If no expression is given, all packets on the net will be dumped. Соответственно tcpdump -i eth0 будет достаточно. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
neiro80 0 11 октября, 2012 Опубликовано 11 октября, 2012 (изменено) · Жалоба man 1 tcpdump Соответственно tcpdump -i eth0 будет достаточно. как мне кажется есть два типа трафика применительно к порту это входящий и исходящий. tcpdump -i eth0 - покажет весь трафик. ( и входящий и исходящий) хотелось бы настроить фильтр на отображение только входящего трафика. Изменено 11 октября, 2012 пользователем neiro80 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
xemul 0 11 октября, 2012 Опубликовано 11 октября, 2012 · Жалоба хотелось бы настроить фильтр на прием только входящего трафика. tcpdump -i eth0 src host not "192.168.1.10 or localhost" (если у хоста более одного сетевого интерфейса, то проще указать имя хоста, а не адрес) Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
neiro80 0 11 октября, 2012 Опубликовано 11 октября, 2012 (изменено) · Жалоба tcpdump -i eth0 src host not "192.168.1.10 or localhost" - так получается что это частный случай для фильтра входящего трафика. входящий трафик это же не только трафик с адресом 192.168.1.10. я может повторюсь ) проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен. Изменено 11 октября, 2012 пользователем neiro80 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
xemul 0 11 октября, 2012 Опубликовано 11 октября, 2012 · Жалоба я может повторюсь ) проблема такая что хотелось бы отображать весь входящий трафик на порту, в независимости от кого и кому он посвящен. Когда догадаетесь, что у интерфейса две стороны, и с каждой есть входящий трафик, можно будет продолжить не повторяясь. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
neiro80 0 11 октября, 2012 Опубликовано 11 октября, 2012 (изменено) · Жалоба что значит две стороны? вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся? собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets" # ifconfig eth1 eth1 Link encap:Ethernet HWaddr 00:11:88:0F:62:81 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:210 errors:0 dropped:0 overruns:0 frame:0 TX packets:219 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:532 RX bytes:50391 (49.2 KiB) TX bytes:104035 (101.5 KiB) Interrupt:15 в целом наверно не стоит превращать в холивар такую глупую тему которая возникла из моего вопроса. Изменено 11 октября, 2012 пользователем neiro80 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
xemul 0 11 октября, 2012 Опубликовано 11 октября, 2012 · Жалоба что значит две стороны? Значит, что pcap'у безразлично, по каким шнуркам к нему попал пакет, и что физический интерфейс и его программная модель - разные сущности. вот вывод команды ифконфиг. числа 210 и 219 к каким из этих сторон относятся? Числа относятся к физическому интерфейсу. собственно хотелось бы чтоб tcpdump отображал пакеты отоносящиеся к пункту "RX packets" Боюсь, tcpdump без подсказок не справится - не его это уровень. А предложенные подсказки Вам не нравятся. Беда. ЗЫЖ сразу не обратил внимания на Вашу трактовку "входящий трафик это же не только трафик с адресом 192.168.1.10" фразы tcpdump -i eth0 src host not "192.168.1.10 or localhost" чтобы не думать, можно tcpdump -i eth0 src host not "`hostname -s` or localhost" Фраза означает, что на eth0 будут ловиться все пакеты, источниками которых являются не hostname и не его локальные сервисы. Если на Вашем хосте живут своей жизнью джейлы, виртуальные машины етс., придётся подсказки немного усложнить. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться