Monitor all IP traffic from a specific internal or external host

Hello John,

Whenever possible, I like to use a hardware tap and dedicated *nix box for captures.  But out here in the real world, I usually either go with a SPAN (or mirror, or whatever your switch vendor calls it) port on the internal client's switch port feeding a capture system (running tcpdump, Wireshark, Netwitness, etc) -or- use tcpdump from a root shell on the ASG.

The tap and SPAN options require set up in advance if you don't want to break the connection(s), so while tcpdump directly on the ASG is not my favorite method, it is often the best answer in cases like yours.

Of course, just running netstat on the client may be easier- but that requires both access to the client and trusting it to report properly.

Hello John,

Whenever possible, I like to use a hardware tap and dedicated *nix box for captures.  But out here in the real world, I usually either go with a SPAN (or mirror, or whatever your switch vendor calls it) port on the internal client's switch port feeding a capture system (running tcpdump, Wireshark, Netwitness, etc) -or- use tcpdump from a root shell on the ASG.

The tap and SPAN options require set up in advance if you don't want to break the connection(s), so while tcpdump directly on the ASG is not my favorite method, it is often the best answer in cases like yours.

Of course, just running netstat on the client may be easier- but that requires both access to the client and trusting it to report properly.