在 Linux 中,我可以将来自特定 ip 地址或 mac 地址的所有流量引导到文件。
我正在寻找一种方法来获取来自特定 IP 地址或 MAC 地址的所有流量并将其放入文件中。iptables 或其他命令行级工具是否允许我这样做。我知道 wireshark 是一款很棒的工具,但我正在寻找一种低级命令行方法来执行类似操作。
我其实不想在我们的服务器上安装额外的软件,但仍然想获取有关可疑 IP 或 MAC 地址的流量的信息。即使这是二进制的。我会编写一个程序来翻译它。
答案1
捕获发往和来自特定 IP 地址的所有数据包并输出到文件:
tcpdump -i <interface> host <ip address> -w <filename>
捕获发往和来自特定 mac 地址的所有数据包:
tcpdump -i <interface> ether host <mac address> -w <filename>
但是,mac 地址是网络本地地址。如果您怀疑网络上的某个设备出了问题,更直接的调查可能会更成功。找到它并查看它在做什么。
答案2
如果你只想“查看”流量并保存到文件,请查看tcpdump命令。