Para analizar las peticiones que hace un ordenador primero lo virtualizamos y luego ya trasteamos.
Encendemos el dump de una máquina física realizado con clonezilla con qemu (ver aquí otra nota del proceso 56k.es/fanta/clonar-el-ordenador-del-trabajo-y-arrancarlo-en-otro-ordenador-con-qemu/ )
qemu-system-x86_64 -enable-kvm -L . --bios bios.bin -m 8G -cpu host -drive file=/dev/sda,format=raw,media=disk -machine type=pc,accel=kvm -smp $(nproc) -netdev user,id=u1 -device e1000,netdev=u1 -object filter-dump,id=f1,netdev=u1,file=dump.dat
Lo interesante:
-netdev user,id=u1 -device e1000,netdev=u1 -object filter-dump,id=f1,netdev=u1,file=dump.dat
Luego con tcpdump:
tcpdump -nr dump.dat
