Linux komento tcpdump

tcpdump-dump liikennettä verkossa

Kuvaus:

tcpdump on yhteinen käärö haistaa, joka suoritetaan komentoriviltä. Sen avulla käyttäjä voi kuunnella ja katsella TCP / IP ja muut paketit lähetetään tai saanut yli verkon, johon tietokone on liitetty.

Esimerkkejä:

tcpdump-i-s 1500 eth0 192.168.1.0/24-w tmp / xxx.pcap

eth0 on laitenimen on käyttöliittymä asettaa laitteen. Jos haluat suodattaa perustuu verkko-osoite, sinun pitäisi laittaa kuin edellä, jos suodatin perustuu isäntä, vaihda se "isäntä 192.168.1.0". -S 1500 ilmoitetaan tavanomainen 1500 koko paketti, jonka haluat kaapata. Jos et määritä 1500, paketit kiinni näkyy keskeneräinen details.-w käytetään tallentaa tiedostot tiettyyn kansioon. Määrittelemällä tiedostotunniste kanssa. Pcap, sinun pystyä tuplaklikkaa tiedostoa avataksesi sen Ethernet

Jos haluat tulostaa kaikki paketit saapuvat tai lähtevät auringonlaskuun:

tcpdump isäntä auringonlaskuun

tcpdump isäntä auringonlaskun-i eth2

tcpdump-w test.pcap-i eth2 tcp portti 6881

tcpdump-w test.pcap-i eth1 tcp portti 6881 tai udp \ (33210 tai 33220 \

Jos haluat tulostaa välinen liikenne Helios ja kuumat tai ässä:
tcpdump isäntä Helios ja \ (kuuma tai ässä \)

Jos haluat tulostaa kaikki IP-pakettien välillä Ace ja jokaisen vastaanottavan paitsi Helios:
tcpdump ip isäntä ässä eikä Helios

Jos haluat tulostaa kaikki liikenteelle paikallisten isännät ja isäntien Berkeleyssä:
tcpdump net UCB-eetteri

Jos haluat tulostaa kaikki ftp liikenteen kautta Internet-yhdyskäytävän snup: (Huomaa, että
ilmaus on lainattu estää Shell (väärin) tulkkauspalvelut
suluissa):
tcpdump porttina snup ja (satama ftp tai ftp-data) "

Jos haluat tulostaa liikenne ei peräisin tai tarkoitettu paikallinen isäntä (jos
te yhdyskäytävä yhden verkon, tätä tavaraa ei saisi koskaan tehdä johonkin sinun
lähiverkon).
tcpdump ip eikä netto localnet

Jos haluat tulostaa alun ja lopun paketit (SYN ja FIN paketteja) kunkin
TCP keskustelu, johon ei paikallinen isäntä.
tcpdump "tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 ja ei lähde ja DST netto localnet"

Jos haluat tulostaa kaikki IPv4 HTTP-paketteja ja satamasta 80, eli tulostaa vain
paketteja, jotka sisältävät tietoja, ei esimerkiksi SYN ja FIN-paketit ja
ACK vain paketteja. (IPv6 on jätetty lukijalle kotiläksyksi.)
tcpdump "tcp portti 80 ja (((ip [02:02] - ((ip [0] & 0xf) <<2)) - ((tcp [12] ja 0xf0)>> 2))! = 0)"

Jos haluat tulostaa IP-pakettien yli 576 tavua lähetetään kautta portti snup:
tcpdump porttina snup ja ip [02:02]> 576 "

Jos haluat tulostaa IP lähettää tai monilähetyspaketteja jotka eivät lähetetään ETH-
ernet lähetys tai multicast:
tcpdump "eetteri [0] & 1 = 0 ja ip [16]> = 224 '

Jos haluat tulostaa kaikki ICMP-paketit, jotka eivät ole echo pyyntöjä / vastaukset (ts. ei
ping-paketteja):
tcpdump "ICMP [icmptype]! = ICMP-echo ja ICMP [icmptype]! = ICMP-echoreply"