Linux polecenia tcpdump

tcpdump-dump ruchu w sieci

Opis:

tcpdump jest wspólnym sniffer pakietów, który działa w linii poleceń. Pozwala ona użytkownikowi na przechwytywanie i wyświetlanie TCP / IP i innych pakietów przesyłanych lub otrzymywanych przez sieć, do której komputer jest podłączony.

Przykłady:

tcpdump-i eth0-s 192.168.1.0/24 1500-w tmp / xxx.pcap

eth0 to nazwa interfejsu jest interfejs ustawia w urządzeniu. Jeśli chcesz filtrowania adresów, należy umieścić jak powyżej, jeżeli w oparciu o filtr host, zmień go na "host 192.168.1.0. -S 1500 1500 wskazują normalny rozmiar pakietu, który chcesz przechwycić. Jeśli nie określono 1500, pakiety zrobione pokaże niekompletne details.-w służy do zapisywania plików do określonego folderu. Poprzez określenie rozszerzenie pliku z. Pcap, chcesz móc kliknij dwukrotnie plik, aby go otworzyć za pomocą sieci Ethernet

Aby wydrukować wszystkie pakiety kończące się lub rozpoczynające z zachodem słońca:

tcpdump host zachodzie słońca

tcpdump-i zachodzie słońca host eth2

tcpdump-w-i eth2 test.pcap port tcp 6881

tcpdump-w-i eth1 test.pcap port TCP 6881 lub \ udp (33210 lub 33220 \

Aby wydrukować ruchu między helios i na gorąco lub ace:
tcpdump helios przyjmującego i \ (na gorąco lub ace \)

Aby wydrukować wszystkie pakiety IP między as i każdy komputer z wyjątkiem Helios:
ace tcpdump host ip i nie helios

Aby wydrukować cały ruch pomiędzy lokalnych komputerów i komputerów w Berkeley:
tcpdump netto ucb-eter

Aby wydrukować cały ruch ftp przez internet snup bramy: (do wiadomości, że
wyrażenie jest cytowany, aby powłoka z (mis-) interpretacji
nawiasach):
tcpdump "snup bramy i (lub port ftp ftp-data)"

Aby wydrukować ruchu, ani nie pochodzą z przeznaczonych do lokalnych komputerów (jeśli
Ci bramy na inny netto tych rzeczy nigdy nie powinien pozwolić na twój
sieci lokalnej).
ip i nie tcpdump netto localnet

Aby wydrukować początku i końca pakietów (pakiety SYN i FIN) każdego
rozmowy TCP, która obejmuje nie-lokalnym komputerze.
tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0, a nie src i dst netto localnet "

Aby wydrukować wszystkie pakiety IPv4 z HTTP i port 80, czyli tylko wydrukować
pakiety, które nie zawierają danych, na przykład pakiety SYN i FIN i
Tylko pakiety ACK. (IPv6 pozostawiamy jako ćwiczenie dla czytelnika).
tcpdump 'tcp port 80 i (((ip [02:02] - ((ip [0] i 0xF) <<2)) - ((tcp [12] i 0xf0)>> 2))! = 0) "

Aby wydrukować pakietów IP dłuższy niż 576 bajtów wysłanych przez snup bramy:
tcpdump "snup bramy i [ip 2:02]> 576"

Do drukowania lub transmisji IP multicast pakiety, które nie zostały wysłane przez Eth-
broadcast lub multicast ernet:
tcpdump "eter [0] i 1 = 0 i [ip 16]> = 224"

Aby wydrukować wszystkie pakiety ICMP echo, które nie są żądania / odpowiedzi (tzn. nie
pakietów ping):
tcpdump "icmptype [] icmp! = icmp-echo i icmp [] icmptype! = icmp-echoreply"