내 집 장치(노트북, 휴대폰 등)와 외부 세계 간의 모든 네트워크 통신 로그를 다음 형식으로 수집하고 싶습니다.
Timestamp / Device MAC Address / Source IP:Port / Destination IP:Port / Protocol (Internet/Transport Layers) / Amount of data in bytes
아이디어는 로깅을 위한 물리적 Linux 상자("로그 서버")를 설정하고 tcpdump실행하는 것입니다.
Internet ⟺ Logging Server ⟺ Wi-Fi/Ethernet Switch ⟺ Devices
(상자에는 인터넷 연결과 로컬 스위치용 두 개의 이더넷 인터페이스가 있습니다.)
내가 로그 파일 처리(회전, 구문 분석, 보고 도구에 제공)를 담당한다고 가정해 보겠습니다.그 tcpdump명령은 어떤 모습일까요?
분명히 말하면, 이 질문은 매뉴얼 페이지를 자세히 살펴보면 답을 얻을 수 있을 것입니다. 저는 단지 tcpdump시간을 절약하고 일반적인 실수를 피하기 위해 누군가의 방대한 경험을 활용하려고 노력하고 있을 뿐입니다.
PS 이 작업의 주요 목적은 백도어 또는 기타 원치 않는/예기치 못한 네트워크 활동의 잠재적 존재를 모니터링/조사하는 것입니다.
답변1
tcpdump -n -e -q -i any
그리고:
-n: 주소를 이름으로 변환하지 마십시오(특히tcpdump역방향 DNS 조회를 방지합니다).-e:각 덤프 라인에 링크 수준 헤더(특히 mac 주소)를 인쇄합니다. 와 함께 사용하면-i any들어오고 나가는 네트워크 인터페이스를 다시 결정하는 데 필요합니다.-q: 더 적은 프로토콜 정보를 인쇄하므로 출력 라인이 더 짧아집니다.-i any: 이any키워드는 모든 인터페이스에서 패킷을 캡처하는 데 사용할 수 있습니다.
위 명령으로 제공되는 길이는 페이로드 길이입니다. 패킷 길이도 필요한 경우 "-q" 옵션을 제거하세요.