theton
Bitmuncher
@Goodspeed: Ich hab es ohne grep versucht und es ging eine Menge durch, wo eine 1 drin steht, da meine IP eine '1' enthaelt.
@Havoc][: Moeglich, dass es daran liegt, dass ich tcpdump nur sporadisch nutze. Allerdings wuesste ich nicht, was tcpdump kann und snort nicht. Filter-Optionen werden auch von snort unterstuetzt. Siehe dazu die Hilfe von Snort:
Mit der Option '-v' arbeitet snort quasi wie tcpdump, nur der Output sieht etwas anders aus und ist fuer mein Empfinden uebersichtlicher:
Snort:
tcpdump:
@Havoc][: Moeglich, dass es daran liegt, dass ich tcpdump nur sporadisch nutze. Allerdings wuesste ich nicht, was tcpdump kann und snort nicht. Filter-Optionen werden auch von snort unterstuetzt. Siehe dazu die Hilfe von Snort:
Code:
<Filter Options> are standard BPF options, as seen in TCPDump
Snort:
Code:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
04/26-12:30:53.122308 123.123.123.123:22 -> 123.123.123.124:1059
TCP TTL:61 TOS:0x10 ID:37708 IpLen:20 DgmLen:404 DF
***AP*** Seq: 0xEE949731 Ack: 0x284A3094 Win: 0x828 TcpLen: 32
TCP Options (3) => NOP NOP TS: 3999037231 42043752
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
tcpdump:
Code:
12:32:35.346412 IP hostname.domain.lnx.nimreg > hostname2.domain.lnx.ssh: P 1:49(48) ack 1920 win 29032 <nop,nop,timestamp 42145984 3999139219>