Uso del TCPDUMP

Para hacer el tcpdump primero es saber las máquinas que usar

cat /etc/hosts |grep -i sdp*

ejemplo:

#192.13.12.16 sdp003

#192.13.12.16 sdp003_2

#192.13.12.16 sdp003_3

#192.13.12.16 sdp003_4

#192.13.12.16 sdp004

una vez sabida las Ip’s hay que lanzarlo como root (se tiene que lanzar uno por conexion, osea si tienes que lanzar contra varios SDP, pues uno por cada)

nohup /usr/sbin/tcpdump -i any host 10.81.77.22 -s0 -C 50 -W cosppga -nv -w /tmp/conexion_sdp4_1_25ago.pcap &

/tmp/conexion_sdp4_1_25ago.pcap —>>>> para que te lo guarde en un fichero –> ojo porque esto crece muy rapidamente, hay que ir monitorizando para no llenar el fs

 

  • Procura lanzarlos sin jobs con el fin de pararlo con un simple control-C, y no andar buscando que procesos matar

sudo /usr/sbin/tcpdump -w /home/xxx/santi/converter11.pcap -s0 -i any port 9003

otra version, por ejemplo desde el Few para las notificaciones externas

sudo /usr/sbin/tcpdump -Z weblogic -i bond2 port 17050 -s0 -S -nv -C 200 -W 5 -w /tmp/snc_10.164.24.126_`date +%Y-%M-%d-%H_%M_%S`.pcap &

  • En un entorno multinterfaz si queremos saber que interfaz remoto usa lo localizamos con ip route a la maquina desde donde nos llega el flujo

 ip route get  167.114.125.105

167.114.125.105 via 10.116.90.129 dev bond2.281  src 10.116.90.135

    cache  mtu 1500 advmss 1460 hoplimit 64

por lo que el dispositivo usado es el bond2.281 

es importante de ponerlo sobre un solo dispositivo, yo las veces que he usado -i any me ha fallado, entra mucha basura

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

* Copy This Password *

* Type Or Paste Password Here *

16 Spam Comments Blocked so far by Spam Free Wordpress

Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.