我希望让 tcpdump 之类的程序运行长达一周,因此使其输出尽可能简洁,以减少文件大小并加快捕获后分析的速度。
我需要做的就是记录每个数据包源或目的地(IP 地址和端口)的第一个实例,这样我就可以了解哪些设备正在与我的服务器通信(反之亦然)。
因此,一旦它看到从 IP 地址 192.168.1.10 到端口 80 的数据包,就不再捕获从该地址到该端口的任何数据包。
如果它可以建立从每个源/到每个目的地的数据包计数表,则可以获得加分。
到目前为止,我想到最好的办法是运行带有-t
和选项(分别为无时间戳和安静)的 tcpdump,并通过和-q
运行输出以减少(但不消除)重复。例如,发往同一目标端口但来自不同源端口的数据包会漏过此网络。sort
uniq