我在一台设备上安装了tcpdump,而且我知道另一台设备的IP。
我如何获得包,哪些设备用于通信?
现在我使用tcpdump -i <network_interface> -s 0 -w <file>之类的东西但是我也需要捕获初始包。
Tcpdump无法以不存在的网络接口启动。
是否有可能捕获从已知IP的设备发送的所有包?
答案 0 :(得分:1)
由于这是Linux,如果问题是您开始捕获后可能会出现网络接口,请尝试捕获“任何”设备:
tcpdump -i any -s 0 -w <file> host 10.1.1.1
将捕获所有接口,包括在tcpdump启动后出现的接口。
答案 1 :(得分:0)
我不确定是否会关注您,但如果您想要的是修改您正在使用的命令,以便捕获具有已知IP的设备的流量,您只需要添加相应的表达式结束,遵循pcap-filter准则。
在您的情况下,并假设您希望所有流量进出10.1.1.1:
tcpdump -i <network_interface> -s 0 -w <file> host 10.1.1.1
tcpdump将仅捕获表达式计算为TRUE的流量。 pcap-filter允许您设置协议,源和目标IP地址和tcp或udp端口或端口范围,以太网MAC地址,数据包长度以及其他无数的东西。
有关一般tcpdump使用情况,请参阅http://www.tcpdump.org/tcpdump_man.html;有关所有pcap-filter可能性,请参阅http://www.tcpdump.org/manpages/pcap-filter.7.txt。