Linux kommandorad tcpdump

tcpdump-dump trafiken på ett nätverk

Beskrivning:

tcpdump är en vanlig paketen vädra som körs under kommandoraden. Den tillåter användaren att fånga upp och visa TCP / IP och andra paket skickas eller tas emot i ett nätverk som datorn är ansluten.

Exempel:

tcpdump-i-s 1500 eth0 192.168.1.0/24-w tmp / xxx.pcap

eth0 är gränssnittet namn är gränssnittet sätter på enheten. Om du vill filtrera baserat på nätverksadress, ska du lägga enligt ovan, om filter som grundar sig på värden, ändra till "värd 192.168.1.0". -S 1500 ange normal 1500 storlek paket du vill fånga. Om du inte definierar 1500, är paketen fångas visar ofullständig details.-w används för att spara filer till en särskild mapp. Genom att definiera filändelsen med. Pcap, skulle du kunna dubbelklicka på filen för att öppna den via Ethernet

För att skriva ut alla paket som anländer till eller avgår från solnedgång:

tcpdump värd solnedgången

tcpdump värd solnedgången-i eth2

tcpdump-w test.pcap-i eth2 TCP-port 6881

tcpdump-w test.pcap-i eth1 TCP-port 6881 eller \ udp (33.210 eller 33.220 \

För att skriva ut trafik mellan Helios och varmt eller ace:
tcpdump värd Helios och \ (varm eller ess \)

Skriva ut alla IP-paket mellan ess och varje värd utom Helios:
tcpdump ip värd ess och inte Helios

För att skriva ut all trafik mellan lokala värdar och värdar i Berkeley:
tcpdump netto UCB-eter

Skriva ut alla ftp-trafik genom Internet-gateway snup: (observera att
uttrycket är noterat att förhindra skal från (miss-) tolka
parentes):
tcpdump "gateway snup och (hamn ftp eller ftp-data)"

För att skriva ut trafik varken kommer från eller är avsedda för lokala värdar (om
du inkörsport till ett annat nät, bör det här gör aldrig det till din
lokala nät).
tcpdump ip och inte netto localnet

För att skriva ut i början och paket änden (SYN och FIN-paket) av varje
TCP konversation som innebär en icke-lokala värden.
tcpdump "tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 och inte src och DST netto localnet"

Skriva ut alla IPv4 HTTP-paket till och från port 80, dvs skriva ut endast
paket som innehåller data, till exempel inte, SYN och FIN-paket och
ACK-bara paket. (IPv6 är kvar som en övning för läsaren.)
tcpdump "TCP-port 80 och (((ip [02:02] - ((ip [0] & 0xf) <<2)) - ((tcp [12] & 0xf0)>> 2))! = 0)"

För att skriva ut IP-paket är längre än 576 bytes som skickas via gatewayen snup:
tcpdump "gateway snup och [ip 02:02]> 576 '

För att skriva ut IP broadcast eller multicast-paket som inte skickas via ETH-
ernet broadcast eller multicast:
tcpdump "eter [0] & 1 = 0 och [IP 16]> = 224 '

Skriva ut alla ICMP-paket som inte är eko förfrågningar / svar (dvs inte
ping-paket):
tcpdump "ICMP [icmptype]! = ICMP-Echo och ICMP [icmptype]! = ICMP-echoreply"