tcp は発信接続パケットをダンプします。

Question 1

このユースケースでは、すべてのトラフィックではなく接続を開始したいパケットのみをキャプチャすることをお勧めします。これはSYNフラグのみが設定されているすべてです。

tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}

私が盗作したもののほとんどは、以下から来ました。tcpdump のマニュアルページ。「特定のフラグの組み合わせ（SYN-ACK、URG-ACKなど）を使用したTCPパケットのキャプチャ」セクションでは、フラグの意味について詳しく説明します（値2に設定された13番目のオクテットはSYNです）。

そして、どのパケットフィルタリングソリューションを使用しているのかはわかりませんが、ロギング機能があるかどうかを確認してみてください。デフォルトではすべて拒否し、http/https/ssh を許可し、ログを確認してブロックされたエントリを確認します。

Answer

このユースケースでは、すべてのトラフィックではなく接続を開始したいパケットのみをキャプチャすることをお勧めします。これはSYNフラグのみが設定されているすべてです。

tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src host ${MYIP}

私が盗作したもののほとんどは、以下から来ました。tcpdump のマニュアルページ。「特定のフラグの組み合わせ（SYN-ACK、URG-ACKなど）を使用したTCPパケットのキャプチャ」セクションでは、フラグの意味について詳しく説明します（値2に設定された13番目のオクテットはSYNです）。

そして、どのパケットフィルタリングソリューションを使用しているのかはわかりませんが、ロギング機能があるかどうかを確認してみてください。デフォルトではすべて拒否し、http/https/ssh を許可し、ログを確認してブロックされたエントリを確認します。

Question 2

発信 TCP パケットの記録が PCAP 形式でディスクに書き込むことを意味する場合は、次のコマンドを使用できます。

$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp

インターフェイスをコンピュータのインターフェイスに置き換え、IPアドレスをコンピュータのIPアドレスに置き換えます。使用しているtcpdumpのバージョン（以前のバージョンなど）に応じて、パケット全体を96バイトに切り捨てずに書き込むには、「-s 0」オプションを追加します。データバッグ。ただし、最近のtcpdumpバージョンでは、ほとんどの（すべてではありません）プラットフォームではデフォルト値が65535であるため、これは不要です。

Answer

発信 TCP パケットの記録が PCAP 形式でディスクに書き込むことを意味する場合は、次のコマンドを使用できます。

$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp

インターフェイスをコンピュータのインターフェイスに置き換え、IPアドレスをコンピュータのIPアドレスに置き換えます。使用しているtcpdumpのバージョン（以前のバージョンなど）に応じて、パケット全体を96バイトに切り捨てずに書き込むには、「-s 0」オプションを追加します。データバッグ。ただし、最近のtcpdumpバージョンでは、ほとんどの（すべてではありません）プラットフォームではデフォルト値が65535であるため、これは不要です。

tcp は発信接続パケットをダンプします。

答え1

答え2

関連情報