Как я могу использовать сложные фильтры по протоколам в tcpdump?

Maf

22.01.2023, 20:02

Я могу фильтровать множество протоколов в проволочная акула и акула, как это:

sudo tshark -i <My_Interface> -Y '(ip.addr == <My_IP> и isakmp)'

Как я могу добавить фильтр протокола в tcpdump такая команда?

sudo tcpdump -i any -nn host <Мой_IP>

104

0 + 0

проволочная акула

анализатор пакетов

tcpdump

Рейтинг:1

Ubuntu

Grave_Rose

23.01.2023, 20:29

Вы бы использовали фильтры в конце. Они называются пакетными фильтрами Berklee или сокращенно BPF. В вашем примере вы можете сделать это следующим образом:

tcpdump -nn -vvv -e -s 0 -X -c 100 -i eth0 хост 1.2.3.4 и \(прототип 17 и порт 500\)

Это позволит захватить трафик на или же от 1.2.3.4 с протоколом уровня 3 17 (UDP) и Порт 500 уровня 4. Вы также можете использовать понятные имена, если они присутствуют в /etc/протоколы и /и т.д./услуги как это:

хост 1.2.3.4 и \(proto udp и порт isakmp\)

Существует гораздо больше BPF, которые вы можете использовать для ограничения таких вещей, как версии протокола, для захвата только IPv6 (ip6) или захватывать трафик с установленным флагом SYN в TCP-пакете (tcp[tcpflags] == tcp-син).

Если вам нужен живой инструмент, я создал https://tcpdump101.com который позволит вам создать свой синтаксис tcpdump и BPF, чтобы вы могли просто скопировать и вставить его. Надеюсь, это поможет вам.

0 + 0

Maf

23.01.2023, 20:58

Почему обрабатываемое имя протокола имеет порт?

Ответить

Grave_Rose

24.01.2023, 00:20

Это не. Это работает так, что протоколы работают на уровне 3 (см.: https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml), а порты работают на уровне 4 (см.: https:/ /www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml). Протокол 17 уровня 3 (IP/17) — это UDP. Порт 500 уровня 4 (UDP/500) — «isakmp».

Ответить

Рейтинг:0

Ubuntu

Maf

23.01.2023, 10:03

Я мог бы создать свой собственный фильтр после некоторых обходных путей:

whileIFS= читать строку -r; делать, если [[ $line =~ 'isakmp' ]]; затем эхо $line; фи; сделано < <(sudo tcpdump -i any -nn host <My_IP>)

0 + 0

Admin

Этот вопрос на других языках:

EN: How can I use complex filters by protocol in tcpdump?

TH: ฉันจะใช้ตัวกรองที่ซับซ้อนตามโปรโตคอลใน tcpdump ได้อย่างไร

RO: Cum pot folosi filtre complexe după protocol în tcpdump?

RU: Как я могу использовать сложные фильтры по протоколам в tcpdump?

VI: Làm cách nào tôi có thể sử dụng các bộ lọc phức tạp theo giao thức trong tcpdump?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.