Расширения, представленные $
входит в систему heredoc оценены локально, прежде, чем генерировать строку, которая передается как вход ssh
команда.
Для предотвращения этого выйдите из команд в heredoc, например, с кавычками вокруг EOF
ssh ... <<"EOF"
Вы можете использовать TCPFLOW , чтобы сделать это. С сайте:
TCPFLOW представляет собой программу, которая отражает данные, передаваемые как часть соединений TCP (потоки), и хранит данные таким образом, чтобы это удобно для анализа протокола или отладки. Программа, такая как «TCPDUMP», показывает сводку пакетов, видимых на проводе, но обычно не хранит данные, которые фактически передаются. Напротив, TCPFLOW восстанавливает фактические потоки данных и сохраняет каждый поток в отдельном файле для более позднего анализа.
Он будет выбросить журналы в текущий рабочий каталог в формате [IP]. [Порт] - [IP]. [Порт].
# mkdir http_logs
# cd http_logs
# tcpflow dst port 80
Этот пример входит в систему всех пакетов TCP, переходя в порт 80 и сохраняет их в текущем каталоге для легкой отладки. Вы также можете фильтровать дальше, используя Фильтры PCAP .
Вы также можете найти коммутатор -A
, который обеспечивает обработку после обработки. Например, он помещает заголовки и тела HTTP в отдельные файлы.
Если это программа с открытым исходным кодом, очевидный ответ, чтобы посмотреть на исходный код ... ; -) Однако , если у вас есть программа с закрытой исходной кодом, чья использование сети вас Хотите отслеживать, лучше всего сделать, это подключить обе машину, которая содержит подозрительное приложение, и машина, содержащая сетевую снифер, подобную Wireshark в HUB .
Почему внешняя машина? Были приложения в прошлом, которые отключили определенные «скрытые функции», если они обнаружили, что находятся на одном компьютере.
P.S. Поскольку концентраторы все чаще становится промышленными археологией, вы также можете использовать скабируемый порт на (профессиональном) выключателе.
на коммутаторах потребительских классов, охват обычно не доступен, к сожалению.