附加到现有 SSH 会话

使用场景

• 捕获属于已激活的 SSH 会话的数据包，以审计长时间运行的连接。
• 遵循 test_exist_connection.sh 集成测试，突出显示 ptcpdump 如何注释服务器端守护进程（例如 sshd）。
• 监控活动 SSH 会话中的可疑活动或未经授权的数据传输。
• 调试影响正在进行的 SSH 连接的网络性能问题。
• 为安全合规性或取证分析审计 SSH 会话中的用户活动。

命令

sudo ptcpdump -i any -c 10 'port 22'

从终止 SSH 连接的主机运行该命令。在 ptcpdump 侦听时，重用一个打开的会话或生成流量（例如，运行一些 shell 命令）。捕获会显示 TCP 数据包的两个方向，并在元数据列中包含 sshd 命令路径。