Мониторинг сети между двумя интерфейсами

Мне нужно отслеживать сеть TCP между двумя хостами, на которых не установлен tcpdump, и я не могу установить на них.

Можно ли сделать это с помощью tcpdump по известному правилу?

tcpdump

Да, у вас есть несколько вариантов:

Поместите концентратор между двумя хостами. Затем вы можете подключить свою машину tcpdump и просто прослушивать трафик (обратите внимание, производительность будет довольно плохой. Хабы работают только до 100 Мбит, и даже тогда они могут быть значительно медленнее, чем коммутируемые 100 Мбит)
Если у вас есть управляемый коммутатор: добавьте зеркальный порт для этих двух интерфейсов, подключите машину tcpdump к зеркальному порту.
Два интерфейса на машине tcpdump: соедините два интерфейса вместе (http://www.tldp.org/HOWTO/BRIDGE-STP-HOWTO/set-up-the-bridge.html) и понюхать интерфейс моста

Если у вас не может быть tcpdump ни на одном из хостов или каким-либо образом изменить их конфигурацию, то для дампа пакетов вам необходимо удалить их из сети. Обычный "корпоративный" способ сделать это - использовать зеркалирование портов, но, конечно, вам понадобится сетевой коммутатор с этой функцией и третий сервер с установленным tcpdump. В противном случае концентратор может это сделать, если это все, что у вас есть.

Если у вас установлено другое программное обеспечение, например netcat, и вам нужен только один или два порта, вы, вероятно, могли бы отправить свой трафик за пределы хоста для анализа и обратно, но если вы анализируете сетевые проблемы, это будет больше проблемой, чем решатель проблем. Почему нельзя установить tcpdump?

Другой способ решить проблему - спросить, чем вы действительно хотите заниматься. Если вам не нужно просматривать содержимое пакета, возможно, вы сможете собрать достаточно информации с помощью инструментов, обычно устанавливаемых по умолчанию, таких как netstat, route, lsof, ss. . .