[blackcatw]

Добрый день.

 

Может кто-нибудь подсказать как правильно и какие параметры поставить при использовании tcpdamp команды?

Нужно по сетевому имени записать в файл параметры общения с сервером на клиентской машине.

Адрес своей машины белый v4 типа 91.232.39.ХХ и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом

Пытался разобраться, но что-то как-то в ступор вподаю.

tcpdump -i eth0 host доменноеимя.сом -w files.cap

Так или нет? Какие ещё параметры нужно указывать, чтобы посмотреть обмен данными?

[alibek]

Чтобы посмотреть — нужно НЕ указывать -w.

А вообще — man tcpdump. Бессмысленно пересказывать все.

 

11 минут назад, blackcatw сказал:

и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом

Доменных имен на L3/L4 нет.

Если трафика немного, то можно использовать tcpdump с ключом -A.

[blackcatw]

29 минут назад, alibek сказал:

Чтобы посмотреть — нужно НЕ указывать -w.

А вообще — man tcpdump. Бессмысленно пересказывать все.

 

Доменных имен на L3/L4 нет.

Если трафика немного, то можно использовать tcpdump с ключом -A.

-w - это чтобы всё в файл записать, а потом этот файл в шарке посмотреть.

т.е. мне вместо доменного имени нужно узнать фактический IP адрес?

[alibek]

В любом случае будет использоваться IP-адрес.

Просто при его указании будет выполнен ресолв.

tcpdump -i eth0 host 1.2.3.4 — получить дамп трафика с/на 1.2.3.4.

tcpdump -i eth0 — получить дамп всего трафика.

[lacost]

Вообще изначально было про записать в файл. значит -w надо.

Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать:

 

$ tcpdump -i <interface> -s 65535 -w <some-file>

 

Ну или ограничить конкретным хостом

 

$ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file>

 

[blackcatw]

4 минуты назад, lacost сказал:

Вообще изначально было про записать в файл. значит -w надо.

Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать:

 

$ tcpdump -i <interface> -s 65535 -w <some-file>

 

Ну или ограничить конкретным хостом

 

$ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file>

 

Параметр "-s 65535" нужен?

И ещё вопрос, а как его останавливать? tcpdump ? Чтобы запись в файле осталась?

Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать?

Изменено 24 октября, 2017 пользователем blackcatw

[alibek]

28 минут назад, blackcatw сказал:

И ещё вопрос, а как его останавливать?

Ctrl+C или указывать количество пакетов для захвата.

28 минут назад, blackcatw сказал:

Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать?

Нет. Нужно использовать bg или screen.

[snvoronkov]

9 минут назад, alibek сказал:

Нет. Нужно использовать bg или screen.

Уточню: bg+nohup

[blackcatw]

5 минут назад, alibek сказал:

Ctrl+C или указывать количество пакетов для захвата.

Нет. Нужно использовать bg или screen.

"-c 200" примерно так количество указывать?

а "bg или screen" - можно узнать как это сделать?

[alibek]

3 минуты назад, blackcatw сказал:

"-c 200" примерно так количество указывать?

Да.

4 минуты назад, blackcatw сказал:

а "bg или screen" - можно узнать как это сделать?

Если это непонятно, то лучше так не делать, а снимать дамп интерактивно.

[blackcatw]

3 часа назад, alibek сказал:

Да.

Если это непонятно, то лучше так не делать, а снимать дамп интерактивно.

К сожалению, я не знаю переодичность запросов к серверу. Да и нужно с файла посмотреть запросы и ответы. Потому собственно и нужен файл, чтобы шарку подсунуть.

[alibek]

Обычно вначале включают сниффер, а затем выполняют тестовые запросы.

[karpa13a]

позовитепрограммиста!(c)

[guеst]

записать в файл как host23.mydomain.local (с ip=10.1.2.3) ходит на fsb.ru ?

tcpdump -v -i eth0 host 10.1.2.3 | grep fsb.ru > file.txt ?

 

 

[YuryD]

 Ну поставьте себе под винду wireshark, или как он теперь называется. там мышом натыкайте - и фильтры есть, и склеивание пакетов. И анализ известных протоколов. Для особых любителей - tcpdump  с ключами  писать всё в полном объеме и фильтрами нужными. Затем акуле скормить дамп для анализа. У tcpdump есть масса полезных ключей и опций, например писать в файл и затем его ротировать.

[LostSoul]

использую -s0 обычно и попа не болит