क्या टीसीपी कनेक्शन समय (कनेक्शन अवधि) के आधार पर टीसीपीडम्प (लाइव या डंप बनाने के बाद) फ़िल्टर करने की संभावना है?tcpdump - टीसीपी कनेक्शन समय/अवधि के आधार पर फ़िल्टर करने के लिए कैसे करें
मैं http जेसन आरपीसी यातायात रिकॉर्ड कर रहा हूं। मैं केवल उन कनेक्शन को रिकॉर्ड करना चाहता हूं जो 1000 एमएस कहने से अधिक लंबे हैं।
वायरसहार्क में मेनू-> सांख्यिकी-> वार्तालाप (टीसीपी टैब) में उपकरण है और वहां मैं "अवधि" द्वारा क्रमबद्ध कर सकता हूं। लेकिन मैं पहले (लंबे समय तक कनेक्शन) रिकॉर्ड करना चाहता हूं (वायरसहार्क में नहीं)।
tcpdump -i eth0 port 80 and connectionTime>1000ms -w data.pcap
या रिकॉर्डिंग के बाद:
cat data.pcap | SOMETOOL -connectionTime>1000ms > dataLongConnections.pcap
SOMETOOL फ़ॉर्मेट करने के लिए कि Wireshark समझ जाएगा फ़िल्टर किए गए डेटा निर्यात करना होगा
छद्म आदेशों में मैं कुछ इस तरह करना चाहते हैं। फ़िल्टरिंग के बाद मैं वायरसहार्क में उस डेटा का विश्लेषण करना चाहता हूं।
मैं यह कैसे कर सकता हूं?
क्या आपने स्प्लिट कैप को कूपपी द्वारा सुझाए गए प्रयासों का प्रयास किया था? आप tcpdump के साथ सत्र अवधि के लिए फ़िल्टर नहीं कर सकते हैं, क्योंकि यह एक राज्यव्यापी फ़िल्टर नहीं है, स्प्लिट कैप पहली नज़र में आपको प्रदान करने की आवश्यकता है। –
टॉम रेगेनर ने जो कहा, उसमें जोड़ने के लिए: 'tcpdump' सत्र अवधि का ट्रैक नहीं रखता है। 'वायर्सहार्क' आपको जानकारी दिखाने में सक्षम है क्योंकि 'वायर्सहार्क' सत्र अवधि के बारे में ट्रैक रख रहा है, न कि केवल 'टीसीपीडम्प' को पार्स कर रहा है। –