Cum pot folosi filtre complexe după protocol în tcpdump?

Maf

22.01.2023, 20:02

Pot filtra după o mulțime de protocoale în wireshark și rechinul, ca aceasta:

sudo tshark -i <My_Interface> -Y '(ip.addr == <My_IP> and isakmp)'

Cum pot adăuga filtrul de protocol în a tcpdump comanda ca asta?

sudo tcpdump -i orice gazdă -nn <My_IP>

104

0 + 0

wireshark

analizor de pachete

tcpdump

Puncte:1

Ubuntu

Grave_Rose

23.01.2023, 20:29

Ai folosi filtre la sfârșit. Acestea se numesc filtre de pachete Berklee sau BPF pe scurt. În exemplul tău, ai putea proceda astfel:

tcpdump -nn -vvv -e -s 0 -X -c 100 -i eth0 gazdă 1.2.3.4 și \(proto 17 și portul 500\)

Acest lucru ar capta traficul către sau de la 1.2.3.4 cu protocolul Layer-3 17 (UDP) și Portul Layer-4 500. Puteți folosi și nume prietenoase dacă sunt prezente în /etc/protocoale și /etc/services ca aceasta:

gazdă 1.2.3.4 și \(proto udp și portul isakmp\)

Există mult mai multe BPF-uri pe care le puteți folosi pentru a limita lucruri precum versiunile de protocol pentru a captura doar IPv6 (ip6) sau capturați traficul care are marcajul SYN setat într-un pachet TCP (tcp[tcpflags] == tcp-syn).

Dacă aveți nevoie de un instrument live, am creat https://tcpdump101.com care vă va permite să vă construiți sintaxa tcpdump și BPF, astfel încât să le puteți copia și lipi. Sper că vă va ajuta.

0 + 0

Maf

23.01.2023, 20:58

De ce numele protocolului care este tratat are port?

Răspunde

Grave_Rose

24.01.2023, 00:20

Nu este. Modul în care funcționează este că protocoalele rulează pe Layer-3 (vezi: https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml) și porturile rulează pe Layer-4 (vezi: https:/ /www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml). Protocolul de nivel 3 17 (IP/17) este UDP. Portul Layer-4 500 (UDP/500) este „isakmp”.

Răspunde

Puncte:0

Ubuntu

Maf

23.01.2023, 10:03

Mi-aș putea crea propriul filtru după câteva soluții:

whileIFS= citire -r linie; face if [[ $line =~ 'isakmp' ]]; apoi echo $line; fi; terminat < <(sudo tcpdump -i orice gazdă -nn <My_IP>)

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: How can I use complex filters by protocol in tcpdump?

TH: ฉันจะใช้ตัวกรองที่ซับซ้อนตามโปรโตคอลใน tcpdump ได้อย่างไร

RO: Cum pot folosi filtre complexe după protocol în tcpdump?

RU: Как я могу использовать сложные фильтры по протоколам в tcpdump?

VI: Làm cách nào tôi có thể sử dụng các bộ lọc phức tạp theo giao thức trong tcpdump?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.