Linux perintah tcpdump

tcpdump-dump lalu lintas pada sebuah jaringan

Keterangan:

Common tcpdump adalah packet sniffer yang berjalan di bawah baris perintah. Hal ini memungkinkan pengguna untuk mencegat dan menampilkan TCP / IP dan paket-paket lain sedang dikirim atau diterima melalui jaringan komputer yang terpasang.

Contoh:

tcpdump-i eth0-s 192.168.1.0/24-1500 w tmp / xxx.pcap

eth0 adalah nama interface adalah antarmuka set pada perangkat Anda. Jika Anda ingin untuk menyaring berdasarkan alamat jaringan, Anda harus meletakkan seperti di atas, jika filter berdasarkan host, ubah ke 'host 192.168.1.0'. 1500-s 1500 menunjukkan ukuran normal paket yang akan diambil. Jika anda tidak mendefinisikan 1500, paket-paket lengkap yang diambil akan menunjukkan details.-w digunakan untuk menyimpan file ke folder tertentu. Dengan mendefinisikan dengan ekstensi file. Pcap, Anda akan bisa klik dua kali file tersebut untuk membukanya melalui ethernet

Untuk mencetak semua paket yang tiba di atau berangkat dari matahari terbenam:

tcpdump host matahari terbenam

tcpdump host matahari terbenam-i eth2

tcpdump-w test.pcap tcp-i eth2 port 6.881

tcpdump-w test.pcap-i eth1 tcp port 6.881 atau udp \ (33.210 atau 33.220 \

Untuk mencetak lalu lintas antara Helios dan baik panas atau ace:
tcpdump host Helios dan \ (panas atau ace \)

Untuk mencetak semua paket IP antara host ace dan apapun kecuali Helios:
tcpdump ip host ace dan tidak Helios

Untuk mencetak semua lalu lintas antara host lokal dan host di Berkeley:
tcpdump net UCB-eter

Untuk mencetak semua ftp lalu lintas melalui gateway internet snup: (catatan bahwa
ekspresi yang dikutip untuk mencegah shell dari (salah-) menafsirkan
tanda kurung):
tcpdump 'gateway snup dan (port ftp atau ftp-data)'

Untuk mencetak lalu lintas baik yang bersumber dari maupun yang ditujukan untuk host lokal (jika
Anda gateway ke salah satu bersih lain, hal ini seharusnya tidak membuat anda ke
net lokal).
tcpdump ip dan tidak bersih localnet

Untuk mencetak awal dan akhir paket (SYN dan FIN paket) dari masing-masing
TCP percakapan yang melibatkan non-host lokal.
tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 dan tidak src dan dst net localnet'

Untuk mencetak semua paket HTTP IPv4 ke dan dari port 80, yaitu hanya mencetak
paket yang berisi data, tidak, misalnya, SYN dan FIN paket dan
Hanya paket ACK. (IPv6 yang tersisa sebagai latihan bagi pembaca.)
tcpdump 'tcp port 80 dan (((ip [2:2] - ((ip [0] & 0xf) <<2)) - ((tcp [12] & 0xF0)>> 2))! = 0)'

Untuk mencetak paket IP lebih dari 576 byte yang dikirim melalui gateway snup:
tcpdump 'gateway snup dan ip [2:2]> 576'

Untuk mencetak IP broadcast atau multicast paket yang tidak dikirim melalui Eth -
ernet broadcast atau multicast:
tcpdump 'ether [0] & 1 = 0 dan ip [16]> = 224'

Untuk mencetak semua paket ICMP yang tidak gema permintaan / balasan (yaitu, bukan
ping paket):
tcpdump 'icmp [icmptype]! = icmp-echo dan icmp [icmptype]! = icmp-echoreply'