После просмотра моих файлов pcaps из Security onion, я хотел бы отфильтровать хост (назовем его 192.168.4.4) и отфильтровать некоторый трафик (порты 80 и 443), текущий проект должен смотреть на другой трафик, не связанный с Интернетом.
запустив tcpdump / windump, я могу сделать это просто tcpdump -w notwww.pcap not 192.168.4.4 not port 80 not port 443
Но я не могу найти документацию или место, чтобы поместить это в конфигурацию.
Меня немного смущает ваш вопрос. Когда я использовал запланированный TCPDUMP, я всегда просто вызывал его из задания cron. Я не верю, что есть файл конфигурации для применения фильтров.
Также я считаю, что вам не хватает ваших предложений AND в приведенном выше заявлении.
Я считаю, что ваше утверждение должно выглядеть примерно так:
tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap
Вы также можете использовать предложение OR, чтобы упростить ваш оператор
tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap
Надеюсь это поможет.
Это делается с помощью фильтра пакетов Berkeley bpf.
конфиг находится в вашем / etc / nsm / $ имя датчика / bpf.conf Я не нашел действительно хороший ресурс, как их писать, но для моих требований это сработало
! host 192.168.4.4 && ! port 80 && ! port 443