tcpdump / tshark: просмотр только исходящих запросов TCP-соединений

Я хотел бы просматривать TCP запросы (синхронизированные пакеты), инициированные моим ПК / сервером, к другим хостам. Более конкретно, я хотел бы просмотреть outgoing connection requests . Как я могу сделать это?

Кроме того, я не хочу видеть какие-либо попытки подключения, которые приходят к моему ПК / серверу.

Следующая команда iptables работает, но ее неудобно использовать, поскольку она регистрирует все, а я просто хочу видеть все на экране:

 iptables -I OUTPUT 1 -o eth0 -p tcp -m state --state NEW -j LOG 

One Solution collect form web for “tcpdump / tshark: просмотр только исходящих запросов TCP-соединений”

Если вы хотите видеть исходящие TCP-соединения, исходящие от вашего хоста, вы можете использовать переключатель src host в качестве аргумента для tcpdump :

 $ tcpdump -i any -nn src host 10.0.2.15 and port 80 

пример

Имитация исходящего трафика:

 $ curl -vv telnet://www.google.com:80 * About to connect() to www.google.com port 80 (#0) * Trying 172.217.15.100... * Connected to www.google.com (172.217.15.100) port 80 (#0) ^C 

Смотря с tcpdump :

 $ tcpdump -i any -nn src host 10.0.2.15 and port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes 11:04:19.585773 IP 10.0.2.15.50642 > 216.58.218.4.80: Flags [S], seq 315169574, win 29200, options [mss 1460,sackOK,TS val 38358006 ecr 0,nop,wscale 7], length 0 11:04:19.623676 IP 10.0.2.15.50642 > 216.58.218.4.80: Flags [.], ack 470600706, win 29200, length 0 

Фильтрация по син пакетам

Для захвата только исходящих син-пакетов вам нужно проанализировать флаги tcp, в частности, поиск флага tcp-syn . Снова используя ту же команду curl сверху, но теперь вызываем tcpdump следующим образом:

 $ tcpdump -i any -nn src host 10.0.2.15 and "tcp[tcpflags] == tcp-syn" tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes 11:13:39.962475 IP 10.0.2.15.44810 > 64.233.185.103.80: Flags [S], seq 3710429425, win 29200, options [mss 1460,sackOK,TS val 38918382 ecr 0,nop,wscale 7], length 0 

tcpflags

Со страницы руководства tcpdump :

 The general format of a TCP protocol line is: src > dst: Flags [tcpflags], seq data-seqno, ack ackno, win window, urg urgent, options [opts], length len Src and dst are the source and destination IP addresses and ports. Tcpflags are some combination of S (SYN), F (FIN), P (PUSH), R (RST), U (URG), W (ECN CWR), E (ECN-Echo) or `.' (ACK), or `none' if no flags are set. Data-seqno describes the portion of sequence space covered by the data in this packet (see example below). Ackno is sequence number of the next data expected the other direction on this connection. Window is the number of bytes of receive buffer space available the other direction on this connection. Urg indicates there is `urgent' data in the packet. Opts are TCP options (eg, mss 1024). Len is the length of payload data. 

Рекомендации

  • Учебник и учебник по tcpdump с примерами
  • Как перехватить ack или syn пакеты с помощью Tcpdump?
  • slmingol / tcp_flags.txt
  • Заметки Амит – Документы »Сетевое оборудование» tcpdump
  • Бодхи теряет подключение к интернету
  • Проблема с именами хостов ARP
  • Не удается получить статический IP с режимом моста в Fedora для работы в VirtualBox?
  • SSID хоста исчезает через несколько секунд
  • Как настроить vpn, чтобы он работал только на пользовательских URL в Linux
  • Плохой IP-маршрут после перезагрузки сети
  • Адаптер Wi-Fi не найден, я все еще использую Wi-Fi. Моя настройка «Проводная» подключена, но у меня нет сетевого шнура
  • Как анализировать проблемы беспроводной сети?
  • Как я могу проверить параметры перед вызовом «ip route add»?
  • Как переназначить eth0 из lan в wan в OpenWrt?
  • В Linux Centos 7 что такое network.service и что он делает?
  • Linux и Unix - лучшая ОС в мире.