tcpdump commande Linux

-Dump du trafic sur un réseau tcpdump

Description:

tcpdump est un renifleur de paquets commune qui s'exécute sous la ligne de commande. Il permet à l'utilisateur d'intercepter et afficher TCP / IP et les autres paquets sont transmises ou reçues sur un réseau auquel l'ordinateur est connecté.

Exemples:

tcpdump-i eth0-s 1500-w tmp 192.168.1.0/24 / xxx.pcap

eth0 est le nom de l'interface est l'interface fixe sur votre appareil. Si vous voulez filtrer en fonction de l'adresse réseau, vous devez mettre comme ci-dessus, si le filtre basé sur l'hôte, le paramètre sur «l'hôte 192.168.1.0. Le S-1500 indiquent la normale 1500 la taille de paquet que vous voulez capturer. Si vous ne définissez pas 1500, les paquets capturés montrera incomplète détails.-w est utilisé pour enregistrer les fichiers dans un dossier spécifique. En définissant l'extension de fichier avec. Pcap, vous devriez être en mesure de double-cliquer sur le fichier pour l'ouvrir via Ethernet

Pour imprimer tous les paquets à l'arrivée ou au départ du coucher du soleil:

le coucher du soleil d'accueil tcpdump

tcpdump accueil coucher du soleil-i eth2

tcpdump-w-test.pcap eth2 le port TCP 6881 i

tcpdump-w-test.pcap eth1 le port TCP 6881 ou i \ UDP (33210 ou 33220 \

Pour imprimer le trafic entre Hélios et chaud ou ACE:
Helios d'accueil tcpdump et \ (chaud ou ACE \)

Pour imprimer tous les paquets IP entre ACE et de n'importe quel hôte, sauf Helios:
propriété intellectuelle et d'accueil ACE pas Helios tcpdump

Pour imprimer tout le trafic entre les hôtes et les hôtes locaux à Berkeley:
tcpdump UCB net-éther

Pour imprimer tout le trafic FTP à travers snup passerelle Internet: (à noter que la
expression est citée pour empêcher le shell de (mal-) interprétation de la
entre parenthèses):
passerelle snup "tcpdump et ftp port (ou ftp-data) '

Pour imprimer la circulation ni proviennent ni destiné aux machines locales (si
vous passerelle à un filet d'autres, ce genre de choses ne devrait jamais le faire sur votre
réseau local).
et la propriété intellectuelle n'est pas net localnet tcpdump

Pour imprimer le début et la fin de paquets (paquets SYN et FIN) de chaque
conversation TCP qui implique un hôte non local.
'Tcp tcpdump [tcpflags] & (TCP-SYN | tcp-fin)! = 0 et non src et dst localnet net »

Pour imprimer tous les paquets IPv4 et HTTP à partir du port 80, soit seulement d'impression
paquets qui contiennent des données, et non pas, par exemple, les paquets SYN et FIN et
paquets ACK-uniquement. (IPv6 est laissé comme exercice au lecteur.)
le port TCP "tcpdump 80 et (((ip [02:02] - ((IP [0] & 0xF) <<2)) - ((tcp [12] & 0xF0)>> 2))! = 0)»

Pour imprimer les paquets IP de plus de 576 octets envoyés par snup passerelle:
passerelle snup "tcpdump et [ip 02:02]> 576 '

Pour imprimer IP broadcast ou multicast paquets qui ne sont pas envoyés par un Eth-
ernet diffusion ou de multidiffusion:
«Éther tcpdump [0] & 1 = 0 et [IP 16]> = 224"

Pour imprimer tous les paquets ICMP qui ne sont pas les demandes d'écho / réponses (c.-à-pas
paquets ping):
tcpdump '[icmptype] icmp! = ICMP echo-et ICMP] icmptype [! = icmp-echoreply'