从安全的洋葱看我的pcap后,我想筛选出一个主机(我们称之为192.168.4.4),并过滤掉一些stream量(端口80和443),目前的项目是看看其他交通不是networking相关的。
运行tcpdump / windump我可以做到这一点只需tcpdump -w notwww.pcap不是192.168.4.4不是端口80不是端口443
但我无法find文件或位置将其放置在configuration中。
我有点困惑你的问题。 当我使用了一个模拟的TCPDUMP时,我总是从cronjob中调用它。 我不相信有一个configuration文件来应用filter。
另外我相信你在上面的陈述中错过了你的AND子句。
我相信你的陈述应该看起来更像这样:
tcpdump -vv not src 192.168.4.4 and not dst port 80 and not dst port 443 -w notwww.pcap 你也可以使用OR子句来简化你的陈述
tcpdump -vv not src 192.168.4.4 and not (dst port 80 or 443) -w notwww.pcap
希望这可以帮助。
这是用bpf Berkley包filter完成的。
该configuration位于/nsm/$sensorname/bpf.conf我还没有find一个/真的/很好的资源如何写他们,但为我的要求这工作
! 主机192.168.4.4 &&! 港口80 &&! 港口443