Recibe actualizaciones por: rss | twitter | email

Excluyendo puertos o IPs de la salida de tcpdump

Escrito por:
Fecha: 2015-05-02 21:19:13 00:00

¿Cómo hacer para que tcpdump excluya o filtre los paquetes provenientes de una IP o de uno o varios puertos y asi quitar el "ruido" innesario?

Si queremos usar tcpdump a traves de una conexión ssh, veremos que nuestro propio tráfico al servidor genera tanto ruido que no es muy fácil leer los resultados del análisis.

Podemos actuar de dos formas.

Excluyendo un IP de la salida de tcpdump

tcpdump -i eth0 host not 1.2.3.4

De esta forma los paquetes de ida y vuelta a la IP 1.2.3.4 no se mostrarán en la salida.

Excluyendo uno o más puertos

tcpdump -i eht0 port not 22

Así no se verá el tráfico ssh

Combinando ambos

tcpdump -i eth0 port not 53 host not 1.2.3.4

Así filtramos todo el tráfico a nuestro server (suponiendo que 1.2.3.4 es nuestro IP, y también el tráfico a DNS)