Linux Befehl tcpdump

tcpdump-Dump-Verkehr in einem Netzwerk

Beschreibung:

tcpdump ist ein gemeinsames Paket-Sniffer, der unter der Kommandozeile. Es ermöglicht dem Benutzer abzufangen und zu Anzeige TCP / IP und andere Pakete, übertragen oder über ein Netzwerk mit dem der Computer angeschlossen ist erhalten.

Beispiele:

tcpdump-i-s 1500 eth0 192.168.1.0/24-w tmp / xxx.pcap

eth0 ist das Interface-Namen ist die Schnittstelle setzt auf Ihrem Gerät. Wenn Sie Filter auf der Netzwerk-Adresse der Grundlage wollen, sollten Sie setzen, wie oben, wenn Filter auf Host-basierte, ändern Sie es in 'host 192.168.1.0 ". Die Option-s 1500 zeigen die normale Größe 1500 Päckchen Sie erfassen möchten. Wenn Sie nicht definieren, 1500, ist die Pakete erfasst werden unvollständige details.-w zeigen verwendet, um die Dateien in einen bestimmten Ordner zu speichern. Durch die Festlegung der Dateierweiterung. Pcap würden Sie in der Lage, klicken Sie auf das Doppelte der Datei, um sie über Ethernet zu öffnen

So drucken Sie alle Pakete ankommen zu und ab Sonnenuntergang:

tcpdump host Sonnenuntergang

tcpdump host Sonnenuntergang-i eth2

tcpdump-w test.pcap-i eth2 TCP-Port 6881

tcpdump-w test.pcap-i eth1 TCP-oder UDP-Port 6881 \ (33210 oder 33220 \

So drucken Sie den Datenverkehr zwischen Helios und entweder heiß oder Ass:
tcpdump host helios und \ (heiß oder Ass \)

So drucken Sie alle IP-Pakete zwischen Ass und jeder Host mit Ausnahme helios:
tcpdump IP-Host-Ass und nicht helios

So drucken Sie den gesamten Datenverkehr zwischen den lokalen Hosts und Hosts in Berkeley:
tcpdump-Ether-net ucb

Um alle FTP-Datenverkehr über Internet-Gateway Snup print: (beachten Sie, dass die
Ausdruck wird angeführt, um die Shell (Fehl-) Interpretation des verhindern
Klammern):
tcpdump 'Snup und Gateway (Port ftp oder ftp-data) "

Um den Verkehr drucken stammen weder von noch für den lokalen Hosts bestimmt sind (wenn
Sie Tor zu einem anderen Netz sollte, diese Dinge nie machen Sie sie auf Ihrem
lokales Netz).
tcpdump ip und nicht net localnet

Um die Start-und End Print-Pakete (das SYN und FIN-Pakete) der einzelnen
TCP-Gespräch, dass eine nicht-lokalen Rechner verbunden ist.
tcpdump 'tcp [tcpflags] & (TCP-SYN | tcp-fin)! = 0 und nicht src and dst net localnet "

Um alle IPv4-HTTP-Pakete zu drucken und von Port 80, also erst gedruckt
Pakete, die Daten, zum Beispiel nicht enthalten, SYN und FIN-Pakete und
ACK-Pakete nur. (IPv6 als eine Übung für den Leser überlassen.)
tcpdump 'TCP-Port 80 und (((ip [2:2] - ((ip [0] & 0xf) <<2)) - ((tcp [12] & 0xF0)>> 2))! = 0)'

So drucken Sie die IP-Pakete mehr als 576 Bytes durch Snup Gateway gesendet:
tcpdump 'Gateway Snup und ip [2:2]> 576 "

So drucken Sie IP-Broadcast-oder Multicast-Pakete, die nicht gesendet wurden über Eth -
ernet Broadcast-oder Multicast:
tcpdump 'ether [0] & 1 = 0 und ip [16]> = 224'

Um alle ICMP-Pakete, die nicht echo werden Anträge / Antworten print (dh nicht
Ping-Pakete):
tcpdump 'icmp [icmptype]! = ICMP-Echo-und ICMP [icmptype]! = icmp-echoreply "