Linux comando tcpdump

Tcpdump-dump tráfico en una red

Descripción:

tcpdump es un sniffer de paquetes comunes que se ejecuta bajo la línea de comandos. Permite al usuario capturar y mostrar a TCP / IP y otros paquetes transmitidos y recibidos en la red a la que el ordenador está conectado.

Ejemplos:

tcpdump-i eth0-s 1500-w 192.168.1.0/24 tmp / xxx.pcap

eth0 es el nombre de la interfaz es la interfaz de juegos en su dispositivo. Si desea filtrar en función de la dirección de red, usted debe poner el caso anterior, si el filtro basado en host, que cambiará a 'host 192.168.1.0. El s-1500 indican el tamaño de paquete 1500 normal que desea capturar. Si usted no introduce el 1500, los paquetes capturados mostrará incompleta Pormenores-w se utiliza para guardar los archivos en una carpeta específica. Al definir la extensión de archivo con extensión. Pcap, serías capaz de hacer doble click en el archivo para abrirlo a través de Ethernet

Para imprimir todos los paquetes con destino u origen de la puesta del sol:

la puesta del sol de acogida tcpdump

tcpdump host puesta del sol-i eth2

tcpdump-w-i eth2 test.pcap puerto tcp 6881

tcpdump-w-i eth1 test.pcap el puerto TCP 6881 o \ udp (33210 o 33220 \

Para imprimir el tráfico entre Helios y ya sea caliente o un as:
acogida helios tcpdump y \ (caliente o un as \)

Para imprimir todos los paquetes IP entre as y cualquier host excepto helios:
as de acogida y de propiedad intelectual no helios tcpdump

Para imprimir todo el tráfico entre los anfitriones locales y anfitriones en Berkeley:
tcpdump ucb neta-éter

Para imprimir todo el tráfico ftp a través snup gateway de Internet: (note que la
expresión se cita para impedir el depósito de (mal) interpretación
entre paréntesis):
tcpdump 'snup pasarela y (ftp-data puerto o ftp)'

Para imprimir el tráfico ni el origen ni de destino a los anfitriones locales (si
que puerta de entrada a una red de otros, este material no debe ser incluida en su
red local).
ip tcpdump y neto localnet

Para imprimir el inicio y el final de paquetes (el SYN y los paquetes FIN) de cada
TCP conversación que involucra una gran cantidad no local.
'Tcp tcpdump [tcpflags] & (tcp-syn | tcp-fin)! = 0 y no src y dst localnet neta'

Para imprimir todos los paquetes IPv4 HTTP desde y hacia el puerto 80, es decir, sólo de impresión
paquetes que contienen los datos, no, por ejemplo, SYN y FIN paquetes y
paquetes ACK-solamente. (IPv6 se deja como ejercicio para el lector).
"Tcpdump tcp puerto 80 Y ((IP ([02:02] - ((ip [0] y 0xF) <<2)) - ((tcp [12] y 0xF0)>> 2))! = 0) '

Para imprimir los paquetes IP de más de 576 bytes enviados a través de snup puerta de enlace:
«Puerta snup tcpdump y [ip 02:02]> 576 '

Para imprimir difusión multicast IP o paquetes que no fueron enviados a través de Eth-
ernet broadcast o multicast:
"Éter tcpdump [0] y 1 = 0 y [IP 16]> = 224 '

Para imprimir todos los paquetes ICMP que no son eco de las peticiones / respuestas (es decir, no
paquetes de ping):
tcpdump 'icmp icmptype] [! = icmp-icmp eco y icmptype] [! icmp =-echoreply'