Как отслеживать трафик tcp между моим локальным хостом и IP-адресом

Я хотел бы знать, как контролировать трафик tcp между моими локальными хостами и действиями по сохранению IP-адресов в файле. Я пробовал iftop и tcptrack, но я не могу продолжать работу в файле. Эти инструменты не нацелены на указание IP-адреса, они контролируют только интерфейс:

iftop -i eth2 -f "dst port 22" 

Я попытался поместить IP-адрес вместо dst, но он не работает. Идея заключается в обнаружении подозрительного трафика

Спасибо за помощь

Как упоминал @blametheadmin в комментарии, вы можете использовать tshark. Другим вариантом является tcpdump :

 $ tcpdump -w trace.out host <hostname-or-ip> 

Затем вы можете проверить эту трассировку с помощью:

 $ tcpdump -r trace.out 

Вы можете использовать iftop для создания отчетов об использовании полосы пропускания, как описано в этом ответе на сервер , с помощью переключателей -t и -s :

 -t use text interface without ncurses -s num print one single text output afer num seconds, then quit -L num number of lines to print 

Для этого требуется версия iftop-1.0pre3 (2014-01-01) от iftop. В вашем случае следующий пример должен сделать трюк, чтобы захватить 5 часов трафика определенного источника:

 iftop -i eth2 -f "src host xywz" -t -s 18000 > log.txt & 

Если вы хотите, чтобы фильтр получал xywz качестве адресата, вы могли бы использовать dest вместо этого или использовать только host без префиксов, если вы хотите отфильтровать оба пути.