Sniff-Pakete, die den Schnittstellennamen und das In / Out-Flag sehen

423
Alexei Martianov

Ich versuche, meinen Datenverkehr zu überwachen, und installierte WireShark als das am meisten empfohlene Tool unter Linux.

Ich habe jedoch keinen sicheren Weg gefunden, um zu sehen, ob das Paket eingehende oder ausgehende Daten ist, und den Namen der Displayschnittstelle anzeigen (selbst in Paketen ist die Schnittstelle immer 0). Ich kann diese Info per IP erraten, aber ich möchte genaue Informationen und möchte mich nicht irren. Schnittstellen bereits im promiscuousModus.

ZB nach ping localhostmit SNAT WireShark Monitoring anyInterface ( Linux-cookedLink-Layer-Header) ergibt sich ein Request-Eintrag mit

Internet Protocol Version 4, Src: 192.168.1.4, Dst: 127.0.0.1

und antworten:

Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1

wo zwei Schnittstellen beteiligt sind und es gibt zwei unterschiedliche Pakete für jede Anforderung und Antwort IMHO. Ich kann keine SNAT-Details ohne detaillierte Informationen sehen.

Gibt es Einstellungen / Möglichkeiten zu sehen

interface+in/out

Infos in WireShark? Wenn nicht, wie raten Sie zu schnüffeln / zu überwachen?

0

2 Antworten auf die Frage

3
Christopher Maynard

Wireshark und seine Befehlszeilen Begleiter Capture - Tools tsharkund dumpcapermöglicht es Ihnen, mehrere Schnittstellen zu erfassen auf angeben. Anstatt beispielsweise -i anyeine Linux-Cooked Capture-Komponente anzugeben und zu enden, können Sie festlegen -i eth0 -i lo, dass die Aufzeichnung auf beiden Schnittstellen erfolgen soll, ohne dass die Informationen pro Schnittstelle verloren gehen. Mit Wireshark klicken Sie auf der Startseite oder im Menü Capture-> Options auf jedes Interface, auf dem Sie aufnehmen möchten .

Da Sie auf mehreren Schnittstellen erfassen, wird jeder Schnittstelle eine andere Schnittstellen-ID zugewiesen, die zu den Rahmendaten hinzugefügt wird. Sie kann sogar verwendet werden, um Pakete mithilfe des frame.interface_idAnzeigefilters zu filtern. Wenn Sie beispielsweise nur die Frames für die Schnittstellen-ID 0 anzeigen möchten, verwenden Sie frame.interface_id == 0. Sie können dieses Feld auch als Spalte hinzufügen, um leichter zu sehen, welcher Frame mit welcher Schnittstelle verknüpft ist.

Vielen Dank! Ich konnte nicht raten, `Ctrl-Click 'zu verwenden, um mehr als eine Oberfläche auszuwählen, bevor Sie auf' Start 'klicken. Ich versuche es. Anscheinend gibt es keine Methode, um "in" und "out" zu unterscheiden, richtig? Alexei Martianov vor 6 Jahren 0
0
Dhirendra Kumar

Sie können den Befehl tcpdump einfach verwenden, um eingehende oder ausgehende Pakete zu überwachen.

tcpdump -i eth0 (Here you need to specify that which port you want to monitor)

Und für die Visualisierung mit Remote-IP mit Paketgröße können Sie das NTOP-Tool auf Ihrem Linux-Server installieren

Verwandte Probleme