Может ли tcpdump фильтровать по метке времени?
Если вы используете кэш DNS (что является разумным решением), вы можете указать другой файл для использования локальным сервером кеширования DNS. Например, для dnsmasq вы можете настроить его для использования
resolv-file=/etc/resolv.dnsmasq.conf
, что, вероятно, не является символической ссылкой.
Теперь вам все еще нужно иметь 127.0.0.1 в вашем фактическом /etc/resolv.conf , но если он уже там случайно, и вы просто хотите добавьте дополнительный сервер имен, это может помочь.Кроме того, некоторые клиенты DHCP допускают наличие "головных" и "хвостовых" файлов, которые они добавляют в начало / добавление при генерации resolv.conf . Они могут помочь. Однако будьте осторожны, resolv.conf имеет ограниченное количество полезных строк (я думаю, что обычно их 3, после чего просто игнорируется).
Hay una herramienta de línea de comando -llamadaeditcap(parte de la familia wireshark )que puede filtrar archivos pcap por rango de tiempo. Hay más información en las respuestas a esta pregunta en StackOverflow:
También hay una herramienta llamada logdissectque puede filtrar la salida de la terminal tcpdump y la salida al formato de salida de la terminal de tcpdump, o json (con algunos campos básicos como host de origen/destino, protocolo, marca de fecha ). Desafortunadamente, no puede enviar a pcap, pero si no necesita la salida de pcap, puede filtrar por muchos criterios diferentes. Está disponible en el instalador preferido de pip (python ), y está en github con instrucciones de configuración.
Solo por el bien de la divulgación completa, escribí logdissect. Normalmente no menciono mis propios proyectos aquí, pero podría ayudar en esta situación.