Intereting Posts
Библиотека float.h не найдена при компиляции gtk + 3 / vte с ​​помощью Homebrew Переписать системный вызов в пользовательском пространстве Любой сценарий DNSBL для Unbound? Fresh Ubuntu 18.04 LTS Установка будет загружаться только в режиме grub Подключиться к LDAP с помощью cn = config в Debian Squeeze Как найти в Linux, если mule запущен Не удалось установить рейд на моем NAS, пытаясь спасти данные, как мне следует продолжить? Поиск соответствия между моим ноутбуком и ядром linux как предотвратить расширение псевдонимов `eval` до произвольного псевдонима и сохранить бесконечную защиту цикла от функции? Почему «ESC» перемещает курсор обратно в vim? Как запустить TOR при загрузке вместо Vidalia? Установка Siemens NX 10: не удалось определить файловую систему, содержащую / usr / ugs100 Матч косой черты в ббе Как я могу измерять и предотвращать дрейф часов? Имя хоста разрешает неправильный IP-адрес

tcpdump сообщений SCCP или GSM MAP

Прямо сейчас я использую tcpdump -i <interface_name> -p <port> -s0 -w /tmp/file.cap а затем фильтрует захват в wirehark.

Как я могу взять захват пакетов с помощью tcpdump только на протоколах SCCP или GSM_MAP и отбрасывать сообщения sptp heartbeat?

Любое другое решение также будет хорошим 🙂

ОС: RedHat

Я не думаю, что вы можете фильтровать с помощью tcpdump на уровне протокола (HTTP, GSM_MAP и т. Д.), Или я должен сказать не очень легко. Это SO Q & A под названием « Могу ли я использовать tcpdump для получения HTTP-запросов, заголовка ответа и тела ответа? », Показывает, как вы собираетесь делать это для HTTP-трафика, это не очень! Я думаю, что функция, которую вы ищете, позволит вам фильтровать их по общему имени протокола.

В качестве альтернативы вы можете попробовать версию командной строки Wireshare, иначе. tshark .

tshark может быть немного сложным для начала, но это довольно простой инструмент, когда вы потратите немного времени на чтение страницы пользователя tshark и googling для существующих рецептов. Вы можете использовать команду, чтобы узнать все протоколы, о tshark знает tshark :

 $ tshark -G protocols|grep -E "SCCP|GSM_MAP|SCTP" GSM Mobile Application GSM_MAP gsm_map Signalling Connection Control Part SCCP sccp Signalling Connection Control Part Management SCCPMG sccpmg Stream Control Transmission Protocol SCTP sctp SS7 SCCP-User Adaptation Layer SUA sua 

Глядя на вышеприведенный вывод, кажется, что tshark знает обо всех протоколах в ваших вопросах, так что это хороший первый шаг. Если вам нужно отфильтровать определенные поля в рамках данного протокола, вы можете выполнить поиск на веб-сайте Wireshark с использованием индекса ссылок на протоколы , так что это хороший второй шаг.

 $ tshark -G fields | head -10 P Short Frame short P Malformed Packet malformed P Unreassembled Fragmented Packet unreassembled P IEEE 1722 Protocol ieee1722 F Control/Data Indicator ieee1722.cdfield FT_BOOLEAN ieee1722 8 0x80 F AVBTP Subtype ieee1722.subtype FT_UINT8 ieee1722 BASE_HEX 0x7f F AVBTP Stream ID Valid ieee1722.svfield FT_BOOLEAN ieee1722 8 0x80 F AVBTP Version ieee1722.verfield FT_UINT8 ieee1722 BASE_HEX 0x70 F AVBTP Media Reset ieee1722.mrfield FT_UINT8 ieee1722 BASE_DEC 0x8 F AVBTP Gateway Info Valid ieee1722.gvfield FT_BOOLEAN ieee1722 8 0x2 ... 

пример

Здесь я собираю трафик протокола HTTP только там, где я загружаю страницу с «unix.stackexchange.com», то есть «198.252.206.16». Мой беспроводной интерфейс ( -i wlp3s0 ), и я просто сбрасываю первые 10 строк вывода.

 $ tshark -O http -i wlp3s0 host 198.252.206.16 | head -10 Capturing on 'wlp3s0' 2 Frame 1: 855 bytes on wire (6840 bits), 855 bytes captured (6840 bits) on interface 0 Ethernet II, Src: IntelCor_85:a7:20 (00:26:c7:85:a7:20), Dst: Watchgua_85:be:9a (00:90:7f:85:be:9a) Internet Protocol Version 4, Src: 192.168.1.161 (192.168.1.161), Dst: 198.252.206.16 (198.252.206.16) Transmission Control Protocol, Src Port: 37713 (37713), Dst Port: http (80), Seq: 1, Ack: 1, Len: 789 Hypertext Transfer Protocol GET /review/late-answers HTTP/1.1\r\n [Expert Info (Chat/Sequence): GET /review/late-answers HTTP/1.1\r\n] [Message: GET /review/late-answers HTTP/1.1\r\n] [Severity level: Chat] [Group: Sequence] ... 

Главное, что вы хотите сохранить прямо, это то, что вы используете «фильтры захвата» здесь при регистрации этой информации. Они отличаются от «отображать фильтры» .

права доступа

Убедитесь, что вы проверили этот U & L Q & A под названием « Невозможно заставить Wireshark работать как пользователь на CentOS, если у вас нет правильных настроек, чтобы вы могли запускать tshark и wireshark как пользователи без полномочий root».

Рекомендации

  • расширенные фильтры tcpdump