我在一台设备上有 tcpdump,我知道另一台设备的 IP。我如何获取包,哪些设备用于通信?现在我使用类似tcpdump -i <network_interface> -s 0 -w <file>但我也需要捕获初始包的东西。Tcpdump 无法以不存在的网络接口启动。是否可以捕获从具有已知 IP 的设备发送(和发送到)设备的所有包?
问问题
3836 次
2 回答
1
由于这是 Linux,如果问题是您开始捕获后可能会出现网络接口,请尝试在“任何”设备上进行捕获:
tcpdump -i any -s 0 -w <file> host 10.1.1.1
它将捕获所有接口,包括 tcpdump 启动后出现的接口。
于 2013-11-14T20:22:33.733 回答
0
我不确定我是否关注你,但如果你想要修改你正在使用的命令以捕获与已知 IP 的设备之间的流量,你只需要在末尾添加相应的表达式,如下pcap 过滤器指南。
在您的情况下,假设您希望所有进出 10.1.1.1 的流量:
tcpdump -i <network_interface> -s 0 -w <file> host 10.1.1.1
tcpdump 将仅捕获对表达式评估为 TRUE 的流量。pcap-filter 将允许您设置协议、源和目标 IP 地址以及 tcp 或 udp 端口或端口范围、以太网 MAC 地址、数据包长度和无数其他内容。
请参阅http://www.tcpdump.org/tcpdump_man.html了解一般 tcpdump 用法,以及http://www.tcpdump.org/manpages/pcap-filter.7.txt了解所有 pcap-filter 可能性。
于 2013-11-13T22:11:48.167 回答