インターフェイスのアウトバウンド トラフィックの送信元 IP アドレスのリストが必要です。libpcap を使用して、トラフィックがインバウンドまたはアウトバウンドの読み取りトラフィックであるかどうかにかかわらず、パケットの方向を見つけるにはどうすればよいですか? どちらの側のサブネット情報もわかりません。また、両側にクライアント/サーバーがあるため、ポート番号範囲に頼ってトラフィックをフィルタリングすることはできません。
inboundlibpcap パケット ヘッダーに、方向に関する情報や、pcap-filter のようなフィルター オプションがないのはなぜですか?
Netsniff-NG は、libpcap に依存していませんが、Linux カーネル パケット タイプの拡張機能をサポートしています。それらは ここに文書化されています
パケット タイプの 1 つは発信であり、「任意のタイプの発信」とコメントされています。次の例では、インターフェイスから出るすべてのパケットをキャプチャします。
$ netsniff-ng --in eth0 --out outgoing.pcap --type outgoing
これを使用すると、他のコマンドライン ツールを利用して PCAP ファイルを読み取り、すべての送信元アドレスを引き出すことができます。たぶん、次のような* nix-ey:
$ tcpdump -nnr outgoing.pcap | cut -d " " -f3 | cut -d . -f1-4
注:ルーターでこれを試したことはありません。
「ether src」または「ether dst」を使用して、パケットの方向をフィルタリングできます。これには、インターフェイスの MAC アドレスを知る必要があります。
PCAP ファイル形式には、キャプチャ中に使用されるインターフェイスを保持するフィールドが含まれていません。そうは言っても、現在 Wireshark と Tshark で使用されている新しい PCAP-NG ファイル形式は、パケット方向と共にそれをサポートしています。
既存の pcap-ng 機能:
ルーターまたはファイアウォールからキャプチャしているように聞こえるため、次のようなものは機能しません。
IP ソース 192.168.1.1
トラフィックをフローにキャプチャすることはオプションかもしれませんが、それでも方向情報は提供されません。ただし、送信元と宛先のアドレスは簡単に特定できます。既存の pcap がある場合は、それを ARGUS 形式に変換できます。
argus -r capture.pcap -w capture.argus
ra -nnr capture.argus
エンドポイント/ホストを簡単に取得できるその他のツール (一部は例付き) は次のとおりです。
ntop -f capture.pcap
tcpprof -nr capture.pcap
Wiresharkエンドポイント
フローツール
必要な情報を解析する必要がありますが、それほど面倒ではないと思います。これで作業できない場合は、PCAP-NG を検討することをお勧めします。