Запись пакетов в файл

[Yuriy_Y]

Какая-то вражина спамит всё время на один адрес. На сервере стоит сквид, и весь трафик берется из кеша. Вроде бы и ладно, внешний трафик не тратится и хорошо. Но 4 гига за день - это ж дополнительная нагрузка на сеть и на сервер. ИП спамера есть, а вот как узнать, зачем он долбится на сервер, и посмотреть, что туда шлется? Т. е., задача: надо сохранить все пакеты от одного клиента локалки, которые шлются на определенное доменное имя, чтоб поглядеть там текстовую инфу. Пните, плиз, в нужную сторону. 

ЗЫ: Аналогичная ситуёвина была с агентом майла. Обратил внимание, что один клиент сети по 1-2 гига в день качал с кеша. Обращался на r.mail.ru. (Да, на майл.ру стоит запрет в сквиде.) Пошел на комп этого юзверя и методом камлания установил, что надо убить guard mail.ru. После этого всё устаканилось. Вот и тут хотелось бы глянуть, что и зачем шлет этот вредитель на майл.ру. 

[ivsatel]

Можно примерно так:

Код: [Выделить]

sudo tcpdump -i ppp0 -vvv -n -nn | tee /home/ivsatel/tcp
А потом разбирать его.

[Yuriy_Y]

Спасибо, начинает проясняться. А как содержимое пакета перехватить?

[ivsatel]

Yuriy_Y,
Тут хорошо описано, и по русски http://www.opennet.ru/base/net/tcpdump_explore.txt.html

[AnrDaemon]

методом камлания установил, что надо убить guard mail.ru.

O.o я его без всяких камланий убиваю нахрен, как только вижу у кого-то на компе. Выходит, инстинкты меня не подводят?

[Yuriy_Y]

Не подводят. Скоро, по ходу, меня этот майл.ру достанет совсем. Закрою нафик все порты агентовые и забаню на сквиде навечно. Аминь.