tcpdump erfasst nicht ordnungsgemäß auf bestimmten Port

Question

Ich bin in einem Netzwerk und ich möchte FTP-Pakete von einem anderen Server im Netzwerk erfassen, aber ich habe ein Problem mit TCPDP über dies.

Ich habe diesen Befehl verwendet:

tcpdump -i eth0 dst X.X.X.X -A and port 21 

Aber es zeigt nichts! (Ich testete und sicher, dass FTP-Port ist 21)

Aber wenn ich das auf meinem Server verwenden funktioniert es richtig.

Ich habe dieses Problem, wenn ich "Port" in den Befehl eingeben. aber wenn ich einen Befehl ohne bestimmten Port eingabe, funktioniert es und fängt richtig auf.

Was ist das Problem?

Danke.

Answer 1

Ich habe nicht genug Ruf, um eine Frage zu stellen, so ist dies Teil Frage und Teil Einblick.

Ist die IP, die Sie filtern, auf dem Client oder dem Server für die FTP-Verbindung?

Für den ersten Befehl, versuchen src x.x.x.x verwenden oder nur x.x.x.x und Port Host 21.

Für den zweiten Befehl, die „und“ ist nicht notwendig, mit der -A-Flagge. Dies sollte wie folgt aussehen:

tcpdump -A -i eth0 port 21 
tcpdump -Ai eth0 port 21 

Eine andere Sache, die ich gesehen habe, ist, wenn es VLAN-Tags, wird die normale Filterung funktioniert nicht ohne den Zusatz „vlan und“ zu Ihrem Filter. Beispiel:

tcpdump -A -i eth0 "vlan and host x.x.x.x and port 21" 

Denken Sie auch daran, dass FTP eine Steuer- und Datenverbindung verwendet. Das Steuerelement befindet sich über Port 21, aber die Daten können variieren, je nachdem, ob Sie aktives oder passives FTP verwenden.