Я хочу получить весь трафик во встроенной системе с помощью tcpdump. Я отправлю эти файлы на свой сервер через sftp или ssh.
Может ли случиться так, что tcpdump "видит" передачу файлов pcap на мой сервер? Это приведет к нежелательному циклу рекурсивной передачи.
Есть ли способ просто сохранить метаданные соединения без повторного сохранения данных pcap? Или надо подключение фильтровать? Если да, то каким будет самый простой способ?
Мне нужно видеть в этих свалках 100% трафика.
Вам не нужно сохранять все данные, которые проходят через ваше устройство, чтобы иметь представление о том, что происходит. Следовательно, вы можете ограничить количество данных, собираемых в пакете, с помощью -s вариант tcpdump. Например:
tcpdump -i eth0 -s 150 -w my_log_file
Поскольку ваш sftp сеанс будет состоять в основном из полноразмерных (вероятно, 1500 байт) пакетов, он оставит небольшой след в вашем файле журнала: если у вас есть 100 МиБ захваченных данных, захват передачи захваченных данных добавит еще 10 МиБ, захватывая передачу захват передачи захваченных данных еще на 1 МиБ и так далее.
Если вам не нужен захват сеанса ssh, вы можете отфильтровать его:
tcpdump -i eth0 not host <server_ip> and not port 22
Вы не объяснили, почему вам нужно захватывать весь трафик на встроенном устройстве, но в зависимости от топологии вашей сети вы можете получить такой же трафик на сервере (следовательно, без копирования журналов).