У меня есть tcpdump на одном устройстве, и я знаю IP другого устройства. Как я могу получить пакеты, какие устройства используют для связи? Теперь я использую что-то вроде tcpdump -i <network_interface> -s 0 -w <file> Но мне тоже нужно поймать исходные пакеты. Tcpdump не может начинаться с несуществующего сетевого интерфейса. Можно ли поймать все пакеты, отправленные с (и на) устройством с известным IP-адресом?tcpdump. Захват пакетов для целевого хоста
Я не уверен, что следую за вами, но если вы хотите, чтобы скомбинировать команду, которую вы используете, чтобы захватить трафик на и с устройства с известным IP-адресом, вам просто нужно добавить соответствующее выражение в конец, следуя правилам pcap-фильтра.
В вашем случае, и если вы хотите весь трафик и от 10.1.1.1:
tcpdump -i <network_interface> -s 0 -w <file> host 10.1.1.1
ТСРйитр будет захватывать только трафик, который оценивается как TRUE, для выражения. pcap-filter позволит вам устанавливать протоколы, IP-адреса источника и назначения, а также порты TCP или udp или порты, MAC-адреса Ethernet, длины пакетов и множество других вещей.
См. http://www.tcpdump.org/tcpdump_man.html для общего использования tcpdump и http://www.tcpdump.org/manpages/pcap-filter.7.txt для всех возможностей фильтра pcap.
Поскольку это Linux, если проблема заключается в том, что сетевые интерфейсы могут появиться после того, как вы начали съемку, попробуйте захват на «любые» устройствах:
tcpdump -i any -s 0 -w <file> host 10.1.1.1
, который захватит все интерфейсы, в том числе тех, которые появляются после запуска tcpdump.
Какая операционная система - это машина, на которой вы запускаете tcpdump? –
tcpdump работает на Linux. –
Эй @ Степан Лоджинов ... Помог ли мой ниже ответ? Это то, что вы хотели? Мне любопытно, потому что я не уверен, что правильно это интерпретировал ... – James