我正在收集服务器上的 pcap 数据,并且只想收集与入站连接相对应的数据包。请注意,我不是希望过滤入站数据包,但会删除与主机发起的对话相对应的出站和入站数据包。流量跨越各种端口,包括通常用于出站流量的端口,因此按端口范围进行限制是不可接受的。
我想到了一些解决这个问题的方法,但都不是理想的:
- 将出站连接限制在很小的端口范围内,并完全忽略这些端口。我想收集传入流量,而不管端口是什么,所以这不是很好。
- 为主机分配第二个 IP,并通过单独的 IP 路由传入/传出连接。这将使配置变得复杂。
我目前使用tcpdump port not 22它来捕获除入站 ssh 之外的所有内容。理想情况下,我希望在记录时过滤出站对话,但稍后过滤 pcaps 也是可以接受的。有没有一种简洁的方法可以使用 或 来实现这tcpdump一点tshark?
答案1
tshark虽然我还没有找到在/中执行此操作的方法tcpdump,但可以使用 Snort 中的以下规则对 TCP 连接执行此过滤:
log tcp any any -> $HOME_NET any (flow:to_server;sid:1000001;)
log tcp $HOME_NET any -> any any (flow:to_client;sid:1000002;)
您也可以使用 Snort 的标记来完成类似的操作,但最大会话持续时间必须以字节、秒或数据包为单位进行限制:
log tcp any any -> $HOME_NET any (flags:S;tag:session,0,packets,1000000,bytes;sid:1000000;)