TCPDUMP - Erfassen von Paketen auf mehreren IP-Adressen (Filter)

Was ich tun muss (über 'tcpdump' über Linux):

• ECommerce App Server: 192.168.1.2, 192.168.1.3, 192.168.1.4. - Dies ist, was ich erfassen möchte (gefiltert nach genau diesen IPs). Kein IP-Bereich (Subnetz) oder eine einzelne IP-Adresse, nur mehrere IP-Adressen / Server.

• Es gibt andere Anwendungen in diesem Bereich, z. B. PayRoll App ist auf 192.168.1.5 und ich möchte keinen dieser Daten in meiner Erfassung sehen.

Ich habe versucht:

tcpdump 0 "/tmp" "host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4" 100000

und auch:

tcpdump 0 "/tmp" "ip.host==192.168.1.2 or ip.host==192.168.1.3 or ip.host==192.168.1.4" 100000

Beide geben Syntaxfehler zurück.

Jede Hilfe wird sehr geschätzt.

Die grundlegende Syntax in Ihrem Fall wäre

tcpdump -i <interface to capture on> <filters>

Das <filters>würde sich auf so etwas ausweiten

'(host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4) and (port 80 or port 443)'

Wenn Ihre E-Commerce-Anwendung die Ports 80 und 443 für die Kommunikation verwenden würde. Die einfachen Anführungszeichen sind wichtig, andernfalls werden in Ihrer Shell möglicherweise die Klammern () angezeigt, die für die Gruppierung von Parametern als Sonderzeichen wichtig sind.

Das Hinzufügen von -v- und -n-Parametern am Anfang ( tcpdump -v -n -i ...) würde die Ausgabe ausführlicher machen und die Namensauflösung deaktivieren (beschleunigt die Ausgabe).

tcpdump -vvv -enni <interface> host 192.168.1.2 or host 192.168.1.3 or host 192.168.1.4 and port XYX -s0 -w /var/tmp/yourfile.pcap