Comments | meridium: Вопрос к сисадминам

meridium

Вопрос к сисадминам

Jan 25, 2010 23:52

Коллеги, подскажите неразумному, возможно ли капчурить tethereal'ом сразу два интерфейса? А в один файл?
Лучшее, до чего я пока додумался, выглядит так (потом сливаю два файла в один Wireshark'ом и препарирую):

[root@PMF-VLAD-IP-0A ~]# rm -f /tmp/eth*; date > /tmp/eth_43_44_date; tethereal -i eth43 -a duration:5 -t ad -w /tmp/eth43_capture & ( Read more... )

mts, sysadmin, telecom, software

Comments 4

denis_gudtsov January 25 2010, 21:24:27 UTC

afaik можно снимать только с одного интерфейса. в качестве предложения попробовать "-i any -p -s0", а затем наложить фильтр -R по вкусу. бывает, что так сразу потерянные пакетики и находятся :)

meridium January 25 2010, 21:34:13 UTC

В принципе, можно попробовать... Вот только не знаю, как мне на лету отфильтровать протокол GTP.
А то дампы уж больно здоровые получатся, замучаюсь качать по SFTP через VPN. Пойду ещё маны покурю...

Родил вот такое: meridium January 25 2010, 21:51:14 UTC

[root@PMF-VLAD-IP-0A ~]# tethereal -i any -a filesize:40960 -t ad -f udp -w /tmp/eth_any_capture;

GTP - он же в UDP заворачивается... уже хорошо :)

Re: Родил вот такое: denis_gudtsov January 26 2010, 07:43:35 UTC

посмотрел в man wireshark-filter - есть фильтр для GPRS Tunneling Protocol (gtp). так что можно применить по нему на входе :)