Linux il comando tcpdump

Tcpdump-dump del traffico su una rete

Descrizione:

tcpdump è un pacchetto sniffer comune che corre sotto la linea di comando. Consente all'utente di intercettare e visualizzare TCP / IP e gli altri pacchetti vengono trasmessi o ricevuti attraverso una rete a cui il computer è collegato.

Esempi:

tcpdump-i eth0-s 1500-w 192.168.1.0/24 tmp / xxx.pcap

eth0 è il nome dell'interfaccia è l'interfaccia imposta sul dispositivo. Se si desidera filtrare in base all'indirizzo di rete, si dovrebbe mettere come sopra, se il filtro basato su host, modificarlo con 'host 192.168.1.0'. Il 1500-s indica la dimensione normale 1.500 pacchetto che si vuole catturare. Se non si definisce il 1500, i pacchetti catturati mostrerà incompleto details.-w è utilizzata per salvare i file in una cartella specifica. Definendo l'estensione file con estensione. Pcap, devi essere in grado di fare doppio clic sul file per aprirlo tramite Ethernet

Per stampare tutti i pacchetti in arrivo o in partenza da un tramonto:

tramonto tcpdump host

tcpdump host tramonto-i eth2

tcpdump-w-i eth2 test.pcap porta TCP 6.881

tcpdump-w-i eth1 test.pcap porta TCP 6881 o \ udp (33.210 o 33.220 \

Per stampare il traffico tra Helios e caldi o asso:
helios ospite tcpdump e \ (calda o asso \)

Per stampare tutti i pacchetti IP tra Asso e qualsiasi host tranne helios:
tcpdump asso host IP, e non helios

Per stampare tutto il traffico tra gli host locali e gli host a Berkeley:
tcpdump net UCB-etere

Per stampare tutto il traffico ftp attraverso snup gateway internet: (notare che la
espressione è citato per evitare che la shell (mal-) interpretare le
parentesi):
tcpdump 'snup gateway e FTP (porto o ftp-data)'

Per stampare il traffico non provengano da né destinato agli host locale (se
ti porta ad una rete di altre, questa roba non dovrebbe mai farlo sul vostro
rete locale).
tcpdump ip e non al netto localnet

Per stampare l'inizio e la fine dei pacchetti (i pacchetti SYN e FIN) di ciascun
TCP conversazione che coinvolge un host non locale.
'TCP tcpdump [tcpflags] & (TCP-SYN | tcp-fin)! = 0 e non src e dst localnet net'

Per stampare tutti i pacchetti HTTP IPv4 da e per la porta 80, cioè solo di stampa
pacchetti che contengono i dati, non, ad esempio, i pacchetti SYN e FIN e
pacchetti ACK-only. (IPv6 è lasciato come esercizio per il lettore.)
porta TCP 'tcpdump 80 e (((ip [02:02] - ((ip [0] & 0xF) <<2)) - (TCP ([12] e 0xF0)>> 2))! = 0)'

Per stampare i pacchetti IP più lungo di 576 byte inviati attraverso snup gateway:
gateway snup 'tcpdump e [ip 02:02]> 576'

Per stampare IP broadcast o multicast pacchetti che non sono stati inviati via Eth-
ernet broadcast o multicast:
'Etere tcpdump [0] = 0 & 1 e [PI 16]> = 224'

Per stampare tutti i pacchetti ICMP echo che non sono richieste / risposte (cioè, non
pacchetti di ping):
tcpdump 'icmp [] icmptype! = icmp-echo e ICMP] icmptype [! = icmp-echoreply'