Я пытаюсь отслеживать свой трафик и установил WireShark как наиболее рекомендуемый инструмент в Linux.

Тем не менее, я не нашел надежного способа узнать, является ли пакет входящим или исходящим, и отобразить имя интерфейса (даже в деталях пакета интерфейс всегда равен 0). Я могу угадать эту информацию по ip, но я хочу точную информацию и не хочу ошибаться. Интерфейсы в promiscuous режиме уже.

Например , после того, как ping localhost с SNAT WireShark мониторинга any интерфейса Linux-cooked заголовок канального уровня) дает одну записи запроса с

Internet Protocol Version 4, Src: 192.168.1.4, Dst: 127.0.0.1

и ответить:

Internet Protocol Version 4, Src: 127.0.0.1, Dst: 127.0.0.1

где задействованы два интерфейса и есть два разных пакета для каждого запроса и ответа IMHO. Я не вижу специфику SNAT без подробной информации.

Есть ли настройки / способы просмотра

interface+in/out

информация в WireShark? Если нет, то как вы советуете нюхать / контролировать?

|источник

2 ответа2

3

Wireshark и его сопутствующие инструменты захвата командной строки tshark и dumpcap позволяют вам указать несколько интерфейсов для захвата. Так, например, вместо того, чтобы указывать -i any и в итоге получить Cooked Capture Linux, вы можете указать -i eth0 -i lo для захвата на обоих интерфейсах без потери информации для каждого интерфейса. В Wireshark просто нажмите Ctrl + клик на каждом интерфейсе, который вы хотите захватить, на главной странице или в меню Capture-> Options .

А поскольку вы захватываете более чем на один интерфейс, каждому интерфейсу назначается отдельный идентификатор интерфейса, который добавляется к данным кадра и может даже использоваться для фильтрации пакетов с использованием фильтра отображения frame.interface_id . Например, если вы хотите видеть только кадры для идентификатора интерфейса 0, используйте frame.interface_id == 0 . Вы также можете добавить это поле в виде столбца, чтобы легче видеть, какой кадр связан с каким интерфейсом.

|источник
0

Вы можете просто использовать команду tcpdump для мониторинга входящих или исходящих пакетов.

tcpdump -i eth0 (Here you need to specify that which port you want to monitor)

А для визуализации с помощью Remote IP с размером пакета вы можете установить NTOP Tool на ваш Linux-сервер.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .