小智 4
它不执行任何过滤,但此示例创建了一个方便的连续数据包嗅探器:
tcpdump -n -C 128 -W 100 -z /home/user/compress_logs.pl -i br0 -w /home/user/packetlogs/packetlog.pcap &
-n不要对 IP 进行反向查找,不要将端口号转换为文本描述,不要将 MAC 地址转换为名称等。-C 128每 128,000,000 字节旋转一次捕获文件-W 100将轮换的捕获文件数量(请参阅-C)限制为 100-z /home/user/compress_logs.plcompress_logs.pl在每个旋转的捕获文件上运行脚本-i br0界面捕获br0-w /home/user/packetlogs/packetlog.pcap使用文件名/home/user/packetlogs/packetlog.pcap&这是由 bash 解析的;指示该命令应在后台运行(异步)将其放入 /etc/rc.local 以在启动时运行。它捕获 接口 上的所有数据包br0,该接口可以是作为分接头串联的两个接口,也可以是连接到被动分接头的两个接口,或者是连接到镜像交换机端口的一个接口(我在实践中使用了这三个接口)
它写入约 128MB 的文件,并会自动轮换最多 100 个文件。当它捕获 128MB 的数据时,它将关闭该文件,打开一个新文件,并以旧文件名作为参数派生指定的命令 - 在本例中是一个小 Perl 脚本,用于压缩先前的捕获文件以便更快地从 IDS 中传输服务器。
当我必须长时间(例如一两天)监视连接并且需要返回并查找在特定时间发生的事件时,我会使用此功能。在 Wireshark 中处理小文件比处理一个大的 pcap 文件要容易得多。
| 归档时间: |
|
| 查看次数: |
32107 次 |
| 最近记录: |