TCPDUMP - การจับแพ็คเก็ตที่อยู่ IP หลายแห่ง (ตัวระบุ)

สิ่งที่ฉันต้องทำ (ผ่าน 'tcpdump' ผ่าน Linux):

•เซิร์ฟเวอร์แอปอีคอมเมิร์ซ: 192.168.1.2, 192.168.1.3, 192.168.1.4 - นี่คือสิ่งที่ฉันต้องการจับภาพ (กรองตาม IP ที่แน่นอนเหล่านี้) ไม่ใช่ช่วง IP (ซับเน็ต) หรือที่อยู่ IP ของบุคคลเพียงแค่ที่อยู่ IP / เซิร์ฟเวอร์หลายรายการ

•มีแอปพลิเคชั่นอื่น ๆ อยู่ในช่วงนี้เช่นแอป PayRoll เป็น 192.168.1.5 และฉันไม่ต้องการเห็นการรับส่งข้อมูลใด ๆ ในการจับภาพของฉัน

ฉันได้ลองแล้ว:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

และนอกจากนี้ยังมี:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

ทั้งคืนข้อผิดพลาดทางไวยากรณ์

ความช่วยเหลือใด ๆ ที่ชื่นชมมาก

ไวยากรณ์พื้นฐานในกรณีของคุณจะเป็น

tcpdump -i <interface to capture on> <filters>

<filters>จะขยายไปยังสิ่งที่ต้องการ

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

หากแอปพลิเคชันอีคอมเมิร์ซของคุณใช้พอร์ต 80 และ 443 สำหรับการสื่อสาร เครื่องหมายคำพูดเดี่ยวมีความสำคัญมิฉะนั้นเชลล์ของคุณอาจเห็นเครื่องหมายวงเล็บ () ซึ่งมีความสำคัญสำหรับการจัดกลุ่มพารามิเตอร์เป็นอักขระพิเศษ

การเพิ่มพารามิเตอร์ -v และ -n ที่จุดเริ่มต้น ( tcpdump -v -n -i ...) จะเพิ่ม verbosity ให้กับเอาต์พุตและปิดใช้งานการจำแนกชื่อ (เพิ่มความเร็วเอาต์พุต)

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap