como posso analisar o stream tcpdump ao vivo?

Em:

sudo tcpdump | grep ^e <ssh_ip>

Primeiro, isso ^etem significados diferentes dependendo do shell.

• no shell Bourne, ^é um alias para |( ^, originalmente renderizado mais como ↑o operador pipe em seu predecessor, o shell Thompson), então você canalizaria greppara ecomandar lá.
• nas fishversões até 3.2, ^era redirecionar stderr (abreviação de 2>).
• in rce derivados, ^é uma espécie de operador de concatenação, então grep ^ese tornaria grepe.
• in zsh -o extendedglob, ^é um operador glob de negação, portanto, ^eexpandiria para todos os arquivos não ocultos no diretório atual, exceto aquele chamado e.
• in csh/ tcsh/ bash/ zsh, ^é especial apenas no início da linha e somente quando a expansão do histórico não está desabilitada. Então não aqui.
• na maioria dos outros shells, ^eseria passado literalmente para grep.

Portanto, assumindo um desses últimos shells, esse comando iniciaria sudo tcpdumpe grep ^e <ssh_ip>simultaneamente com a saída de um conectado à entrada do outro por meio de um tubo.

A sintaxe dos grepargumentos é grep [<options>] <regular-expression> [<files>]( [...]indicando partes opcionais). Se não houver arquivo, grepgreps seu stdin¹. As opções começam com o -caractere.

Então, aqui ^eestá a expressão regular e <ssh_ip>é o arquivo para procurar linhas que correspondam a esse regexp.

Como regexp, ^ecorresponde ao início da linha seguido por e, de modo que informa as linhas que começam com e.

Aqui, provavelmente o <ssh_ip>arquivo não existe, então grepretornará imediatamente com um erro.

Nesse ponto, tcpdumpo stdout de 's, herdado de sudo's, se tornará um tubo quebrado; portanto, na primeira vez tcpdumpque tentar enviar algo, ele receberá um sinal SIGPIPE e morrerá ou, se ignorar esse sinal, write()falhará com um EPIPEerro. Aqui, o tcpdump conseguindo escrever uma mensagem de erro sugere que ele ignora esse sinal e relata sua falha write()ou tem um manipulador nele e relata sua recepção antes de terminar.

Se você quiser filtrar as linhas que contêm um endereço IP da saída de tcpdump, você precisa grep -Fvw <ssh_ip>de where -F, -ve -where agrupados em um único argumento e são, respectivamente, para

• correspondência em Fstrings fixas em vez de um regexp (para .corresponder a um literal .em vez de qualquer caractere único, como ocorre em regexps).
• re verse the match: retorna as linhas que não combinam.
• correspondência wapenas em ords (para não encontrar <ssh_ip>== 10.10.10.10em, por exemplo).210.10.10.109

Por padrão, quando o tcpdump detecta que sua saída não vai para um terminal, ele reverte para buffer de bloco, portanto, se você quiser ver a saída assim que chegar, provavelmente desejará adicionar a opção tcpdump para reativar -la linha carregando.

Mas, de qualquer forma, o tcpdump pode filtrar os pacotes sozinho. Aqui, para excluir os pacotes de/para um determinado endereço IP, basta:

sudo tcpdump not host <ssh_ip>

Ou para filtrar apenas o tráfego ssh desse endereço IP:

sudo tcpdump 'not (host <ssh_ip> and tcp port ssh)'

(supondo que a conexão ssh esteja na porta padrão 22).

Esses filtros (Berkeley Packet Filters, BPF) são compilados em uma expressão de filtro binário passada para o kernel ( setsockopt(fd, SOL_SOCKET, SO_ATTACH_FILTER, filter)pelo menos no Linux). A filtragem está acontecendo lá, então é realmente menos trabalhoso para o tcpdump e o sistema em geral do que se o tcpdump pedisse todo o tráfego, decodificasse tudo e passasse para o grep.

wireshark, e sua interface de linha de comando tsharké um aplicativo de análise de tráfego muito mais avançado que você pode querer considerar aqui também. Eles suportam dois tipos de filtro: o BPF como acima chamado de filtro de captura (passado com -f) e um filtro de exibição (passado com -Y) aplicado posteriormente nos pacotes retornados pelo kernel usando a própria sintaxe de filtro do wireshark e recursos mais avançados.

^{¹ ou recursivamente no diretório de trabalho atual se as opções -r/ -Rforem fornecidas em versões recentes da implementação GNU de grep.}