Linux tcpdump εντολή

tcpdump-χωματερή της κυκλοφορίας σε ένα δίκτυο

Περιγραφή:

tcpdump είναι ένα κοινό πακέτο sniffer που τρέχει κάτω από τη γραμμή εντολών. Επιτρέπει στο χρήστη να παρακολουθήσει και να εμφανίσει το πρωτόκολλο TCP / IP και άλλα πακέτα που μεταδίδονται ή λαμβάνονται μέσω ενός δικτύου στο οποίο ο υπολογιστής είναι συνημμένο.

Παραδείγματα:

tcpdump-i-s 1500 eth0 192.168.1.0/24-w tmp / xxx.pcap

eth0 είναι το όνομα της διεπαφής για τη διεπαφή καθορίζει στη συσκευή σας. Αν θέλετε να φιλτράρετε με βάση τη διεύθυνση δικτύου, θα πρέπει να θέσει ως ανωτέρω, αν το φίλτρο με βάση υποδοχής, η αλλαγή του να «φιλοξενήσει 192.168.1.0». Το-s 1500 αναφέρουν το κανονικό 1500 πακέτο μέγεθος που θέλετε να συλλάβει. Αν δεν καθορίζουν 1500, τα πακέτα που καταγράφεται θα δείξει ελλιπής details.-w χρησιμοποιείται για την αποθήκευση των αρχείων σε έναν συγκεκριμένο φάκελο. Με τον καθορισμό του αρχείου με επέκταση. Pcap, που προτίθεστε να είναι σε θέση να διπλό κλικ στο αρχείο για να το ανοίξετε μέσω ethernet

Για να εκτυπώσετε όλα τα πακέτα που φθάνουν σε ή αναχωρούν από την δύση του ηλίου:

tcpdump σούρουπο υποδοχής

tcpdump υποδοχής δύση του ηλίου-i eth2

tcpdump-w test.pcap-i eth2 θύρα TCP 6881

tcpdump-w test.pcap-i eth1 θύρα TCP 6881 ή \ UDP (33210 ή 33220 \

Για να εκτυπώσετε την κυκλοφορία μεταξύ helios και είτε ζεστό ή άσσο:
tcpdump helios υποδοχής και \ (ζεστό ή άσος \)

Για να εκτυπώσετε όλα τα πακέτα IP μεταξύ άσσο και υποδοχής που εκτός από helios:
tcpdump άσσος υποδοχής ip και να μην helios

Για να εκτυπώσετε το σύνολο της κίνησης μεταξύ των τοπικών φιλοξενεί και φιλοξενεί στο Berkeley:
tcpdump καθαρή UCB-αιθέρα

Για να εκτυπώσετε το σύνολο της κίνησης ftp μέσω internet snup πύλης: (σημειώστε ότι το
έκφρασης είναι εισηγμένες για την πρόληψη του περιβλήματος από την (κακή) ερμηνεία του
παρένθεση):
πύλη snup «tcpdump και (ftp λιμένα ή ftp-data)»

Για να εκτυπώσετε την κυκλοφορία ούτε προέρχονται από ούτε προορίζεται για τον τοπικό φιλοξενεί (εφόσον
Σας πύλη σε ένα άλλο καθαρό, αυτά τα πράγματα δεν θα έπρεπε ποτέ να κάνει επάνω σας
τοπικό net).
ip tcpdump και όχι καθαρό localnet

Για να εκτυπώσετε την έναρξη και λήξη πακέτα (ο ΣΥΝ και FIN πακέτα) για κάθε
TCP συνομιλία που περιλαμβάνει ένα μη τοπικό υποδοχής.
«Tcp tcpdump [tcpflags] & (tcp-syn | tcp-fin)! = 0 και όχι src dst και καθαρό localnet»

Για να εκτυπώσετε όλα τα IPv4 πακέτα HTTP προς και από την θύρα 80, δηλαδή μόνο εκτύπωση
πακέτα που περιέχουν δεδομένα μη, για παράδειγμα, τα πακέτα SYN και FIN και
ACK-μόνο τα πακέτα. (IPv6 αφήνεται ως άσκηση για τον αναγνώστη.)
tcp θύρα «tcpdump 80 και (((ip [2:02] - ((ip [0] & 0xf) <<2)) - ((TCP [12] & 0xf0)>> 2))! = 0)»

Για να εκτυπώσετε πακέτων IP μεγαλύτερη από 576 bytes που αποστέλλονται μέσω snup πύλης:
πύλη snup «tcpdump και [ip 2:02]> 576 '

Για να εκτυπώσετε IP μετάδοσης ή πολλαπλής διανομής πακέτα τα οποία δεν είχαν αποσταλεί μέσω Εθν-
μετάδοσης ernet ή multicast:
«Αιθέρας tcpdump [0] & 1 = 0 και [ip 16]> = 224 '

Για να εκτυπώσετε όλα τα πακέτα ICMP που δεν είναι ηχώ αιτήσεις / απαντήσεις (δηλαδή, όχι,
πακέτα ping):
«ICMP tcpdump] icmptype [! = Icmp-echo και icmp [] icmptype! = Icmp-echoreply»