在查看了来自 Security onion 的 pcaps 后,我想过滤掉一个主机(我们称之为 192.168.4.4)并过滤掉一些流量(端口 80 和 443),当前项目是查看与网络无关的其他流量。
运行 tcpdump/windump 我可以简单地做到这一点 tcpdump -w notwww.pcap 不是 192.168.4.4 不是端口 80 不是端口 443
但是我找不到文档或将其放入配置中的位置。
答案1
我对你的问题有点困惑。当我使用计划的 TCPDUMP 时,我总是从 cronjob 中调用它。我不相信有一个配置文件可以应用过滤器。
此外,我认为您在上面的声明中缺少 AND 子句。
我相信你的陈述应该更像这样:
tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap
您还可以使用 OR 子句来简化您的语句
tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap
希望这可以帮助。
答案2
这是通过 bpf Berkley 数据包过滤器完成的。
配置位于您的/etc/nsm/$传感器名称/bpf.conf
我还没找到真的如何编写它们的好资源,但对于我的要求,这有效
! host 192.168.4.4 && ! port 80 && ! port 443