tcpdump: Sortie uniquement les adresses source et de destination

Description du problème:

Je veux imprimer seulement les adresses source et de destination à partir d'un tcpdump[1].

Avoir une solution de travail, mais nous croyons qu'il pourrait être beaucoup améliorée. Un exemple qui capture 5 paquets, un peu comme un exemple de ce que je suis à la recherche de:

tcpdump -i eth1 -n -c 5 ip | \
cut -d" " -f3,5 | \
sed -e 's/^\([0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\)\..* \([0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\).*$/ > /'

Question:

Cela peut être fait dans n'importe quel moyen plus facile? La Performance est également un problème ici.

[1] Une partie d'un test si le snort home_net est correctement définie, ou si le trafic n'est défini dans la home_net.

Solution:

Ok, merci à tous ceux qui ont répondu à celui-ci. Il y a eu deux préoccupations liées à la les réponses, est la compatibilité entre les différents linux versions et la seconde est la vitesse.

Voici les résultats sur la vitesse de test que j'ai fait. D'abord la commande grep-version:

time tcpdump -l -r test.dmp -n ip 2>/dev/null | grep -P -o '([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+).*? > ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)' | grep -P -o '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | xargs -n 2 echo >/dev/null

real    0m5.625s
user    0m0.513s
sys     0m4.305s

Puis le sed-version:

time tcpdump -n -r test.dmp ip | sed -une 's/^.* \(\([0-9]\{1,3\}\.\?\)\{4\}\)\..* \(\([0-9]\{1,3\}\.\?\)\{4\}\)\..*$/ > /p' >/dev/null
reading from file test.dmp, link-type EN10MB (Ethernet)

real    0m0.491s
user    0m0.496s
sys     0m0.020s

Et le plus rapide, le awk-version:

time tcpdump -l -r test.dmp -n ip | awk '{ print gensub(/(.*)\..*/,"\","g",$3), $4, gensub(/(.*)\..*/,"\","g",$5) }' >/dev/null
reading from file test.dmp, link-type EN10MB (Ethernet)

real    0m0.093s
user    0m0.111s
sys     0m0.013s

Je n'ai malheureusement pas été en mesure de tester la façon dont ils sont compatibles, mais le awk besoins gnu awk de travailler en raison de la gensub fonction. De toute façon, tous les trois solutions fonctionne sur les deux plates-formes que j'ai testé. 🙂

OriginalL'auteur Eigir | 2012-11-21

  1. 8

    Voici un moyen à l'aide de GNU awk:

    tcpdump -i eth1 -n -c 5 ip | awk '{ print gensub(/(.*)\..*/,"\","g",$3), $4, gensub(/(.*)\..*/,"\","g",$5) }'
    Ne pas travailler hors de la boîte. A installer gawk. Mais alors, il était environ 3 fois plus rapide que le sed-version. 🙂 La question qui se pose alors est de savoir comment compatible c'est à travers les différents systèmes...
    J'avais rencontré de problème lors de l'utilisation gensub sur centos. regex contenant {} m'a donné beaucoup de mal pour moi...
    concernant la vitesse: si vous voulez capturer seulement 5 paquets, puis la vitesse ne devrait pas déranger beaucoup. Je veux dire, le principal goulot d'étranglement serait tcpdump, plutôt que de sed. Essayez de dumping tcpdump la sortie vers un fichier & puis en exécutant awk vs sed.
    Oui, je ne pense pas que d'autres awk's, comme BSD/OSX awk etc, le soutien de la gensub() fonction, malheureusement.
    Vitesse: 5 paquets de prescription est juste pour tester la commande. La vitesse d'essai a été fait sur environ 100k paquets (lire à partir d'un fichier pcap). 🙂

    OriginalL'auteur Steve

  2. 2

    Essayez ceci:

     tcpdump -i eth1 -n -c 5 ip 2>/dev/null | sed -r 's/.* ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+).* > ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+).*/ > /'

    Si en cours d'exécution à partir d'un .sh script, n'oubliez pas d'échapper \1 & \2 tel que requis.

    Ah, l'envoi de stderr vers /dev/null est quelque chose que j'ai oublié. Et à l'aide de + au lieu de \{1,3\} permet d'économiser beaucoup de taper (et le rend plus lisible). Merci. 🙂
    avec -r vous ne nécessiterait pas ` before { & }, I think... but {1,3}` est plus la restriction de/précis.

    OriginalL'auteur anishsane

  3. 1

    Avertissement Vous devez utiliser sans tampon ou ligne de tampon sortie de surveiller la sortie d'une autre commande comme tcpdump.

    Mais vous commande semble correct.

    Pour simplifier, vous pouvez:

    tcpdump -i eth1 -n -c 5 ip | 
  sed -une 's/^.* \(\([0-9]\{1,3\}\.\?\)\{4\}\)\..* \(\([0-9]\{1,3\}\.\?\)\{4\}\)\..*$/ > /p'

    Avis de la u commutateur utile sans -c 5 à tcpdump

    tcpdump -ni eth1 ip | 
  sed -une 's/^.* \(\([0-9]\{1,3\}\.\?\)\{4\}\)\..* \(\([0-9]\{1,3\}\.\?\)\{4\}\)\..*$/ > /p'

    OriginalL'auteur F. Hauri

  4. 1

    & ici est un grep seule solution:

    tcpdump -l -i eth1 -n -c 5 ip 2>/dev/null | grep -P -o '([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+).*? > ([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)' | grep -P -o '[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+' | xargs -n 2 echo

    Note -l, dans le cas où vous ne souhaitez pas limiter le nombre de paquets à l'aide -c.

    vu répondre par F. Hauri à propos de la ligne tampon après je l'ai posté...
    Tcpdump utilise getopt(), pas getopt_long(), donc il n'a pas d'options telles que --line-buffered. t ont un -l option, qui est (en effet) de la ligne de tampon (c'est en fait "flush à la fin de chaque paquet"; cela a été fait parce que, sur Windows, la ligne "tamponnée" I/O standard écrit un caractère à la fois).
    ^^ désolé, oui, vous avez raison. --line-buffered est grep option.
    J'aime le grep version. Vérifier la compatibilité de il est, et de faire un petit test de vitesse contre le awk et sed solutions. Le-c 5 est seulement de limiter le nombre de paquets lors de l'essai de la ligne de commande. 🙂
    J'ai pensé, grep doit être rapide, seulement parce que c'est probablement la lumière-poids par rapport à la awk/sed. mais 2*grep peut être coûteuse. Laissez-moi savoir la perf résultat 🙂 la Compatibilité des sage: je l'ai testé, wirks bien.

    OriginalL'auteur anishsane