PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : tcpdump auf IP einschränken



well
27.04.09, 09:56
Hallo zusammen

Weiss jemand den Befehl um mit einem tcpdump alle traffic welche von einer IP welche mit 150 endet in eine Datei aufzuzeichnen.

Gruss

marce
27.04.09, 10:03
man tcpdump meint

expression
selects which packets will be dumped. If no expression is given, all packets on the net will be
dumped. Otherwise, only packets for which expression is ‘true’ will be dumped.

The expression consists of one or more primitives. Primitives usually consist of an id (name or
number) preceded by one or more qualifiers. There are three different kinds of qualifier:

type qualifiers say what kind of thing the id name or number refers to. Possible types are
host, net , port and portrange. E.g., ‘host foo’, ‘net 128.3’, ‘port 20’, ‘portrange
6000-6008’. If there is no type qualifier, host is assumed.

well
27.04.09, 10:11
Wenn ich das richtig verstehe heisst das soviel wie es geht nicht !!

xstevex22
27.04.09, 10:33
Ethereal/Wireshark Binärdump:

tcpdump "host 192.168.1.150" -w output.dat

Ascii Dump:

tcpdump "host 192.168.1.150" > output.txt

well
27.04.09, 10:53
So nimmt er aber nur die 192.168.1.150 Adresse aber da ich aber da ich 50 interne Netze oder mehr habe will ich eigentlich ein solchen dump:
tcpdump "host xxx.xxx.xxx.150" -w output.dat

xxx = irgendwas

gibt es da auch ein command

BedriddenTech
27.04.09, 11:34
Probier mal
tcpdump net 0.0.0.150 mask 0.0.0.255.

HTH

well
28.04.09, 07:33
Ne habe einigen clients die ip 10.10.10.150 gegeben und den server auf dem ich den tcpdump laufen lasse gepingt leider:
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Habe mal was von regulären Ausdrücken gehört.
Kann ich die im tcpdump auch verwenden?

BedriddenTech
28.04.09, 11:05
Mal in die Manpage geguckt...?