Antworten:
Für diesen Anwendungsfall würde ich vorschlagen, nur die Pakete zu erfassen, die versuchen, Verbindungen herzustellen, und nicht den gesamten Datenverkehr. Das wäre alles, wenn nur das SYN-Flag gesetzt wäre.
tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}
Ich habe dies meistens von der tcpdump-Manpage abgeschnitten . Der Abschnitt "Erfassen von TCP-Paketen mit bestimmten Flag-Kombinationen (SYN-ACK, URG-ACK usw.)" beschreibt detailliert, was die Flags bedeuten (das auf einen Wert von 2 gesetzte 13. Oktett ist ein SYN).
Ich bin mir auch nicht sicher, welche Paketfilterlösung Sie verwenden, aber Sie sollten prüfen, ob sie über eine Protokollierungsfunktion verfügt. Standardmäßig alle verweigern, dann http / https / ssh zulassen und die Protokolle überprüfen, um festzustellen, was sonst noch blockiert wird.
Wenn Sie mit dem Protokollieren der ausgehenden TCP-Pakete meinen, sie im PCAP-Format auf die Festplatte zu schreiben, können Sie den folgenden Befehl verwenden:
$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp
Ersetzen Sie die Schnittstelle durch die Schnittstelle Ihres Geräts und die IP-Adresse durch die IP-Adresse Ihres Geräts. Abhängig von der Version von tcpdump, die Sie wie eine ältere Version verwenden, können Sie die Option "-s 0" hinzufügen, wenn Sie das gesamte Paket aufzeichnen möchten, anstatt es wie 96 Byte abzuschneiden, wodurch die Snaplength so eingestellt wird, dass sie nicht abgeschnitten wird das Paket. In neueren tcpdump-Versionen benötigen Sie diese wahrscheinlich nicht, da sie auf den meisten, wenn nicht allen Plattformen standardmäßig 65535 sind.