Comandă și exemple de utilizare tcpdump

Instalarea aplicație tcpdump

În sistemul Debian / Ubuntu / Linux Mint, procedați în felul următor:

În RedHat sistem / CentOS / Fedora, trebuie să faceți următoarele:

Descrierea tastelor de aplicare tcpdump

Mai jos sunt câteva exemple care vă vor ajuta să găsiți mai ușor de înțeles și mai ușor de a lucra cu aplicația tcpdump.

Tcpdump, în mod implicit, primește doar primele 68 de octeți de date 96 din pachet. Dacă doriți să vedeți pachete mai detaliate, adăugați -s opțiune. în cazul în care numărul este numărul de octeți pe care doriți să le capturați. Dacă setați -s 0 (zero) - acest lucru înseamnă că pentru a captura toate pachetele. Aici este o scurtă listă de opțiuni care sunt utilizate cel mai mult:

Exemple de aplicații utilizare tcpdump

Diferite expresii vă permit să găsiți cu ușurință traficul necesar. Tcpdump vă permite să setați filtre flexibil. Aplicația tcpdump, există trei tipuri de expresie: tip, dir, și proto.

Expresia se referă la următorul tip gazdă, net și port. Expresiile precum dir - este src, dst, src sau dst și src și dst. Următoarele sunt exemple de utilizare a diferitelor expresii:

src. dst - care caută de la o anumită sursă sau un anumit scop (selectează traficul dintr-o singură parte)

net - surprinde tot traficul în rețea, trebuie să setați masca de subrețea

proto - funcționează cu protocoalele TCP, UDP si ICMP. (A nu se scrie proto)

Portul - capturează traficul pe un anumit port

src / dst, port, protocol - o combinație a tuturor celor trei expresii

Este de asemenea posibil de a filtra printr-o serie de porturi.

traficul de captare pe o serie de porturi - portrange

mai puțin. mai mare - confiscarea o anumită dimensiune în octeți de trafic

De asemenea, în acest caz, puteți utiliza simboluri (> =)

Tcpdump vă permite să salvați de trafic capturat la dosar. Pentru a face acest lucru, trebuie să utilizați -w. Dacă doriți să citiți traficul de la un fișier, trebuie să utilizați opțiunea -r.

Când salvați un fișier, este de dorit să se utilizeze extensia de fișier sau * .cap * .pcap. În viitor, fișierul rezultat poate fi deschis în WireShark.

Înregistrați tot traficul pe portul 5060 la dosar.

Când aveți posibilitatea să încărcați fișierul din nou la necesitatea tcpdump.

Folosind expresii AND, OR și NOR

Tcpdump vă permite să combinați expresii folosind expresii logice

traficul TCP din 192.168.2.113 și portul de destinație al 5060

Trafic din rețeaua 192.168.0.0 la rețeaua 10.0.0.0 172.16.0.0 sau

Excluderea de pachete ICMP, The 192.168.0.2 destinație, sursa subrețea 172.16.0.0

Oficiul de trafic de la gazdă și nu pe portul SSH

Filtrele pot fi grupate, pentru aceasta trebuie să utilizați paranteze (). Atunci când este necesar de a utiliza citate expresii complexe.

Trafic de la 192.168.2.114 și destinația porturile 5060 sau 22

Setări avansate de filtrare

Puteți filtra traficul bazat pe anumite părți ale pachetului. Acesta poate fi util atunci când caută pentru afișarea pachete care conțin un ACK sau SYN.

Arată pachetele de urgență (URG)

Arată pachetele RECUNOASTETI (ACK)

Arată pachete PUSH (PSH)

Afișați pachete RESET (RST)

Arată pachete (SYN) se sincronizeze

Pachete Arată FINISH (FIN)

Arată / CONFIRMAÞI se sincronizeze pachete (SYNACK)

Exemple de utilizare tcpdump

Aici ne arată filtrele pe care ne folosim pentru a capta traficul SIP.

- Capturați tot traficul pe portul 5060 și de a salva ca fișier

- Capturați traficul de pe toate interfețele de pe gazdă 10.81.25.201 și scrie la fișier (fișierul este inclus în numele mașinii gazdă și data este foarte convenabil pentru depozitare)