Oc-windows.ru

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Andrea Fortuna Just some random thoughts about the Meaning of Life, The Universe, and Everything

TCPDUMP: a simple cheatsheet

Having a solid grasp of tcpdump is mandatory for anyone desiring a thorough understanding of TCP/IP.

What is tcpdump?

Tcpdump is one of th best network analysis tool for information security professionals.

tcpdumpruns under the command line and allows the user to display TCP/IP and other packets being transmitted or received over a network to which the computer is attached.
Is a Free Software, originally written in 1988 by Van Jacobson, Sally Floyd, Vern Paxson and Steven McCanne who were, at the time, working in the Lawrence Berkeley Laboratory Network Research Group.

tcpdump is distributed under the BSD license.

Why tcpdump?

Many prefer to use higher level analysis tools such as Wireshark, but I believe that when using a tool that displays network traffic in a raw format the burden of analysis is placed directly on the human rather than the application, allowing the analyst to perform a more deeper research.

This kind of approach require a deeper understanding of the TCP/IP suite,so start using tcpdump instead of other tools whenever possible!

The basics

Here a few options you can use when using tcpdump.
Using this options, we will try to build some simple usecases.

Options

-i any : Listen on all interfaces just to see if you’re seeing any traffic.
-i eth0 : Listen on the eth0 interface.
-D : Show the list of available interfaces
-n : Don’t resolve hostnames.
-nn : Don’t resolve hostnames or port names.
-q : Be less verbose (more quiet) with your output.
-t : Give human-readable timestamp output.
-tttt : Give maximally human-readable timestamp output.
-X : Show the packet’s contents in both hex and ASCII.
-XX : Same as -X, but also shows the ethernet header.
-v, -vv, -vvv : Increase the amount of packet information you get back.
-c : Only get x number of packets and then stop.
-s : Define the size of the capture in bytes. Use -s0 to get everything, unless you are intentionally capturing less.
-S : Print absolute sequence numbers.
-e : Get the ethernet header as well.
-q : Show less protocol information.
-E : Decrypt IPSEC traffic by providing an encryption key.

Now, a brief excerpt about expressions, that allows you to trim out various types of traffic and find exactly what you’re looking for.

There are three main types of expression: type, dir, and proto.

Type options are: host, net, and port.
Direction lets you do src, dst, and combinations thereof.
Proto(col) lets you designate: tcp, udp, icmp, ah, and many more.

The Use Cases

Now, let’s try using this information in real usecases:

tcpdump -D

Listing possible network interfaces on the system

tcpdump -i interface-name

Capture packets from a particular interface

tcpdump -c N

Capture only N number of packets

tcpdump -w file.pcap

Capture the packets and write into a file

tcpdump -s 0

Capture and store network frames full-length

tcpdump -r file.pcap

Reading the packets from a saved file

tcpdump -tttt

Capture packets with proper readable timestamp

tcpdump greater N

Read packets longer than N bytes

Specify protocol type

To receive only the packets of a specific protocol type – fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp and udp

tcpdump host IP

Will show you traffic from 1.2.3.4, whether it’s the source or the destination.

tcpdump src /dst

Filtering by source and sestination: it’s quite easy to isolate traffic based on either source or destination using src and dst .

tcpdump net x.x.x.x/xx

Filter packets by network: you can combine this with the src or dst options as well.

tcpdump port PORT_NO

Receive packets flows on a particular port

tcpdump less /greater

Filter traffic based on Packet Size: you can use less, greater, or their associated symbols that you would expect from mathematics.

tcpdump dst IPADDRESS and port PORT-NO

Capture packets for particular destination IP and Port

tcpdump -vvv

Display more packet information

tcpdump -e

Display link level header of every packet: -e

tcpdump -t

Don’t print a timestamp on each dump lin: without using -t option we can see the below output timestamp is dumped.

and with -t option:

tcpdump -n

Display packets with IP address instead of DNS names: -nBasically tcpdump converts the plain address to DNS names. Using n option we can make tcpdump to display ip address.

tcpdump -A

Display Captured Packets in ASCII

tcpdump -XX

Display Captured Packets in HEX and ASCII

tcpdump -nnvXSs 0 -c1 icmp

Hex output: useful when you want to see the content of the packets in question, and it’s often best used when you’re isolating a few candidates for closer scrutiny.

Some everyday examples

tcpdump can output content in ASCII, so you can use it to search for cleartext content using other command-line tools like grep .

The -l switch lets you see the traffic as you’re capturing it, and helps when sending to commands like grep .

Find HTTP User Agents
Cleartext GET Requests
Find HTTP Host Headers
Find HTTP Cookies
Find SSH Connections

This one works regardless of what port the connection comes in on, because it’s getting the banner response.

Как использовать команду tcpdump в Linux

В tcpdump команда может использоваться для захват сетевого трафика на Система Linux . Это универсальный командная строка утилита, которую сетевые администраторы часто используют для устранения неполадок.

Вы обнаружите, что объем сетевого трафика, захваченного через интерфейс, может быть огромным. tcmpdump упрощает нашу работу, позволяя изолировать только интересующий нас трафик. Конечно, для этого вам необходимо ознакомиться с различными флагами и настройками, связанными с командой.

В этом руководстве вы узнаете, как использовать tcpdump через примеры и объяснения. Следуйте инструкциям на своей собственной системе, если вы хотите научиться захватывать сетевой трафик и справляться с tcpdump команда.

В этом уроке вы узнаете:

  • Как установить tcpdump на основные дистрибутивы Linux
  • Примеры команды tcpdump
  • Как фильтровать трафик tcpdump по порту, протоколу, источнику и месту назначения
  • Как записать захваты tcpdump в файл
  • Как интерпретировать вывод команды tcpdump

Использование команды tcpdump для захвата сетевого трафика в Linux

Использование команды tcpdump для захвата сетевого трафика в Linux

Требования к программному обеспечению и условные обозначения командной строки Linux

КатегорияТребования, условные обозначения или используемая версия программного обеспечения
СистемаЛюбой Дистрибутив Linux
Программного обеспеченияtcpdump
ДругойПривилегированный доступ к вашей системе Linux с правами root или через судо команда.
Условные обозначения# — требует данных команды linux для выполнения с привилегиями root либо непосредственно как пользователь root, либо с использованием судо команда
$ — требует данных команды linux для выполнения от имени обычного непривилегированного пользователя.

Установите tcpdump на основные дистрибутивы Linux

Есть большая вероятность, что ваш Дистрибутив Linux уже есть tcpdump устанавливается по умолчанию, особенно если вы используете дистрибутив, ориентированный на серверы. Если он еще не установлен, вы можете использовать соответствующую команду ниже, чтобы установить его через диспетчер пакетов вашей системы.

Чтобы установить tcpdump на Ubuntu , Debian , и Linux Mint :

Чтобы установить tcpdump на CentOS , Fedora , AlmaLinux , и Красная Шапка :

Чтобы установить tcpdump на Arch Linux и Манджаро :

Примеры команды tcpdump

ПРИМЕЧАНИЕ
Все твои tcpdump команды должны выполняться с учетной записью пользователя root или с судо . Утилита требует прав администратора для запуска.

Самая простая форма команды — использовать утилиту без дополнительных параметров, например:

Если вы не укажете, с какого сетевого интерфейса вы хотите захватывать трафик, как в приведенной выше команде, тогда tcpdump подберет для вас интерфейс.

Он будет продолжать «сбрасывать» захваченный трафик на ваш терминал, пока вы не прервете команду. Самый простой способ сделать это — использовать Ctrl + c .

Если у вас несколько сетевых интерфейсов, лучше всего указать, на каком интерфейсе вы пытаетесь перехватывать трафик, поскольку tcpdump по умолчанию может не выбрать тот, который вам нужен. Использовать -D возможность распечатать список сетевых интерфейсов, которые tcpdump можешь использовать.

У нас есть несколько разных интерфейсов, которые мы можем использовать. В качестве альтернативы у нас есть любой доступна опция, которая позволит нам захватывать трафик на всех сетевых интерфейсах одновременно. Если мы хотим захватить сетевой трафик на enp0s3 интерфейс, мы будем использовать следующий синтаксис команды.

Вы можете использовать -v возможность увеличения подробности вывода, или -vv и -vvv чтобы увеличить его еще больше.

Если ты не хочешь tcpdump для бесконечного вывода данных на ваш терминал вы можете использовать -c параметр, чтобы указать, сколько пакетов вы хотите, чтобы утилита захватывала. tcpdump прекратит выполнение команды после достижения порога, а не будет ждать, пока вы его прервете. Следующая команда позволит нам захватить только первые 15 пакетов.

Если ты не хочешь tcpdump для выполнения разрешения DNS на сетевых адресах в выходных данных вы можете использовать -n вариант в вашей команде. Это отобразит все сетевые адреса как IP-адреса, а не преобразовывает их в доменные имена.

Если вы предпочитаете сохранять выходной сетевой трафик в файл, а не отображать его на экране, вы всегда можете перенаправить tcpdump вывод с обычным > и >> операторы.

Другой вариант — записать сетевой захват в файл. Эти файлы обычно имеют .pcap расширение файла и не может быть прочитано обычным текстовым редактором.

Чтобы открыть файл для последующего анализа, используйте -р вариант и имя вашего файла.

Интерпретировать вывод команды tcpdump

Каждый пакет, который tcpdump захват записывается отдельной строкой. Одна из этих строк будет выглядеть примерно так:

Вот как интерпретировать эту строку данных:

  • 14:21:46.134249 — Отметка времени, когда пакет был захвачен.
  • IP 10.0.2.15.54000 — IP и номер порта исходного хоста.
  • 104.16.168.35.443 — IP и номер порта хоста назначения.
  • Флаги [.] — Флаги TCP (SYN, ACK, PSH и т. Д.). [.] означает ACK.
  • ack 2915 — Номер подтверждения.
  • выиграть 63000 — Номер окна (байты в приемном буфере).
  • длина 0 — Длина данных полезной нагрузки.

Фильтрация трафика tcpdump

Одна из лучших особенностей tcpdump в том, что мы можем отфильтровать именно тот трафик, который хотим видеть. Без фильтрации трафика по адаптеру (как показано выше), номеру порта и протоколу пакета, объем захваченного трафика может быстро стать огромным, и его почти невозможно отсеять.

Несмотря на название tcpdump , мы можем использовать этот инструмент для фильтрации всех видов трафика, а не только TCP. Например, используйте следующий синтаксис для фильтрации трафика, использующего UDP.

Или следующий пример, который отфильтровывает ICMP:

Вы также можете использовать соответствующий номер протокола для фильтрации определенного протокола. Например, ICMP — это протокол номер 1, поэтому следующий синтаксис будет делать то же, что и в предыдущем примере.

Чтобы увидеть полный список сетевых протоколов и их соответствующие номера, ознакомьтесь с список номеров IP-протоколов в Википедии .

Чтобы фильтровать трафик с определенным IP-адресом назначения или источника, мы можем использовать хозяин квалификатор с -n вариант. Например, для фильтрации трафика, связанного с хостом по IP-адресу 10.10.150.20 :

В качестве альтернативы используйте сеть qualifer, если вы хотите отфильтровать трафик в или из всей сети. Например, следующая команда отфильтрует трафик, связанный с 192.168.1.0/24 сеть.

Использовать порт и портить квалификаторы для фильтрации пакетов, относящихся к определенному порту или диапазону портов соответственно. Например, следующая команда отфильтрует наш трафик, связанный с портом 80 (HTTP).

Или, чтобы отфильтровать трафик с портов 20-30, можно использовать следующую команду.

Добавить dst , src , src и dst , и src или dst квалификаторы, если вы хотите фильтровать на основе адреса источника и / или назначения или порта пакетов. Например, следующая команда отфильтрует пакеты с исходным IP-адресом 10.10.150.20 .

Или в этом примере мы отфильтровываем пакеты, предназначенные для порта SSH (порт 22).

Комбинирование фильтров

Мы можем комбинировать эти различные фильтры, описанные выше, используя и ( && ), или ( || ), и нет ( ! ) операторов в наших tcpdump команда.

Например, следующая команда захватит трафик, предназначенный для 10.10.150.20 на порт 80 (HTTP).

Или создайте еще более детализированные фильтры, комбинируя правила в круглых скобках. Например, эта команда будет делать то же, что и предыдущая, но также захватит порт 443 (HTTPS).

Заключительные мысли

В этом руководстве мы увидели, как использовать tcpdump Утилита командной строки для захвата сетевого трафика в системе Linux. Как мы видели в этом руководстве, команда может быть довольно сложной и принимать очень детализированный ввод, что позволяет нам отфильтровывать именно тот трафик, который мы хотим видеть.

Подпишитесь на новостную рассылку Linux Career Newsletter, чтобы получать последние новости, вакансии, советы по карьере и рекомендуемые руководства по настройке.

LinuxConfig ищет технических писателей, специализирующихся на технологиях GNU / Linux и FLOSS. В ваших статьях будут представлены различные руководства по настройке GNU / Linux и технологии FLOSS, используемые в сочетании с операционной системой GNU / Linux.

Ожидается, что при написании статей вы сможете идти в ногу с технологическим прогрессом в вышеупомянутой технической области. Вы будете работать самостоятельно и сможете выпускать как минимум 2 технических статьи в месяц.

  • 09/08/2021
  • НовичокАдминистрацияКоманды

Как установить Chef Server, Workstation и Chef Client в Ubuntu 18.04

Как установить Chef Server, Workstation и Chef Client в Ubuntu 18.04

  • 08/08/2021
  • 18.04СерверUbuntuАдминистрация

Chef — это инструмент управления конфигурацией на основе Ruby, используемый для определения инфраструктуры как кода. Это позволяет пользователям автоматизировать управление множеством узлов и поддерживать согласованность между этими узлами. Рецепт.

Установите инструменты разработки на RHEL 8 / CentOS 8

Установите инструменты разработки на RHEL 8 / CentOS 8

  • 09/08/2021
  • Rhel8АдминистрацияCentos8Разработка

В Инструменты разработки group действует как переходный пакет для установки множества инструментов разработки, компиляции и отладки. В частности, к ним относятся Automake, Autoconf, Gcc (C / C ++), а также различные макросы и отладчики Perl и Pyth.

Как обмениваться данными между контейнером Docker и хост-системой с помощью томов

Как обмениваться данными между контейнером Docker и хост-системой с помощью томов

  • 09/08/2021
  • АдминистрацияКомандыДокер

Самый простой способ обмена данными между контейнером Docker и хост-системой — использовать тома Docker. В этом руководстве мы рассмотрим пошаговые инструкции по обмену файлами между контейнером Docker и хост-системой с использованием томов Docker.

18 Practical tcpdump Command Examples – A Network Sniffer Tool Primer

tcpdump is a most powerful and widely used command-line packets sniffer or package analyzer tool which is used to capture or filter TCP/IP packets that received or transferred over a network on a specific interface. It is available under most of the Linux/Unix based operating systems. tcpdump also gives us an option to save captured packets in a file for future analysis. It saves the file in a pcap format, that can be viewed by tcpdump command or an open source GUI based tool called Wireshark (Network Protocol Analyzer) that reads tcpdump pcap format files.

One of the most common uses of tcpdump is to determine whether you are getting basic two-way communication. Lack of communication could be due to the following:

  • Bad routing
  • Faulty cables, interfaces of devices in the packet flow
  • The server not listening on the port because the software isn’t installed or started
  • A network device in the packet path is blocking traffic; common culprits are firewalls, routers with access control lists and even your Linux box running iptables.

WHY TCPDUMP?

tcpdump is the premier network analysis tool for information security professionals. Having a solid grasp of this über-powerful application is mandatory for anyone desiring a thorough understanding of TCP/IP. Many prefer to use higher level analysis tools such as Wireshark, but I believe this to usually be a mistake.

When using a tool that displays network traffic a more natural (raw) way the burden of analysis is placed directly on the human rather than the application. This approach cultivates a continued and elevated understanding of the TCP/IP suite, and for this reason, I strongly advocate using tcpdump instead of other tools whenever possible.

BASICS

Below are a few options you can use when configuring tcpdump. They’re easy to forget and/or confuse with other types of filters, e.g., Wireshark, so hopefully, this page can serve as a reference for you, as it does me. here are the main ones I like to keep in mind depending on what I’m looking at.

OPTIONS:
-i any : Listen on all interfaces just to see if you’re seeing any traffic.
-i eth0 : Listen on the eth0 interface.
-D : Show the list of available interfaces
-n : Don’t resolve hostnames.
-nn : Don’t resolve hostnames or port names.
-q : Be less verbose (more quiet) with your output.
-t : Give human-readable timestamp output.
-tttt : Give maximally human-readable timestamp output.
-X : Show the packet’s contents in both hex and ASCII.
-XX : Same as -X, but also shows the ethernet header.
-v, -vv, -vvv : Increase the amount of packet information you get back.
-c : Only get x number of packets and then stop.
-s : Define the snaplength (size) of the capture in bytes. Use -s0 to get everything, unless you are intentionally capturing less.
-S : Print absolute sequence numbers.
-e : Get the ethernet header as well.
-q : Show less protocol information.
-E : Decrypt IPSEC traffic by providing an encryption key.

EXPRESSIONS

In tcpdump, Expressions allow you to trim out various types of traffic and find exactly what you’re looking for. Mastering the expressions and learning to combine them creatively is what makes one truly powerful with tcpdump.

There are three main types of expression: type, dir, and proto.

  • Type options are: host, net, and port.
  • Direction lets you do src, dst, and combinations thereof.
  • Proto(col) lets you designate: tcp, udp, icmp, ah, and many more.

How to Install tcpdump in Linux

Many of Linux distributions already shipped with tcpdump tool, if in case you don’t have it on systems, you can install it using following Yum command for RedHat Based linux.

Once the tcpdump tool is installed on systems, you can continue to browse following commands with their examples.

Basic Examples

So, now that we’ve seen what our options are, let’s look at some real-world examples that we’re likely to see in our everyday work.

1. BASIC COMMUNICATION

Just see what’s going on, by looking at all interfaces.

2. SPECIFIC INTERFACE

Basic view of what’s happening on a particular interface.

3. RAW OUTPUT VIEW

Verbose output, with no resolution of hostnames or port numbers, absolute sequence numbers, and human-readable timestamps.

4. FIND TRAFFIC BY IP

One of the most common queries, this will show you traffic from 1.2.3.4, whether it’s the source or the destination.

5. SEEING MORE OF THE PACKET WITH HEX OUTPUT

Hex output is useful when you want to see the content of the packets in question, and it’s often best used when you’re isolating a few candidates for closer scrutiny.

6. FILTERING BY SOURCE AND DESTINATION

It’s quite easy to isolate traffic based on either source or destination using src and dst.

7. FINDING PACKETS BY NETWORK

To find packets going to or from a particular network, use the net option. You can combine this with the src or dst options as well.

8. SHOW TRAFFIC RELATED TO A SPECIFIC PORT

You can find specific port traffic by using the port option followed by the port number.

9. SHOW TRAFFIC OF ONE PROTOCOL

If you’re looking for one particular kind of traffic, you can use tcp, udp, icmp, and many others as well.

10. SHOW ONLY IP6 TRAFFIC

You can also find all IP6 traffic using the protocol option.

11. FIND TRAFFIC USING PORT RANGES

You can also use a range of ports to find traffic.

12. FIND TRAFFIC BASED ON PACKET SIZE

If you’re looking for packets of a particular size you can use these options. You can use less, greater, or their associated symbols that you would expect from mathematics.

13. WRITING CAPTURES TO A FILE

It’s often useful to save packet captures into a file for analysis in the future. These files are known as PCAP (PEE-cap) files, and they can be processed by hundreds of different applications, including network analyzers, intrusion detection systems, and of course by tcpdump itself. Here we’re writing to a file called capture_file using the -w switch.

14. READING PCAP FILES

You can read PCAP files by using the -r switch. Note that you can use all the regular commands within tcpdump while reading in a file; you’re only limited by the fact that you can’t capture and process what doesn’t exist in the file already.

Advanced Examples

Now that we’ve seen what we can do with the basics through some examples, let’s look at some more advanced stuff.

IT’S ALL ABOUT THE COMBINATIONS

Being able to do these various things individually is powerful, but the real magic of tcpdump comes from the ability to combine options in creative ways in order to isolate exactly what you’re looking for. There are three ways to do combinations, and if you’ve studied programming at all they’ll be pretty familiar to you.

Here are some examples of combined commands.

1. FROM SPECIFIC IP AND DESTINED FOR A SPECIFIC PORT

Let’s find all traffic from 10.5.2.3 going to any host on port 3389.

2. FROM ONE NETWORK TO ANOTHER

Let’s look for all traffic coming from 192.168.x.x and going to the 10.x or 172.16.x.x networks, and we’re showing hex output with no hostname resolution and one level of extra verbosity.

3. NON ICMP TRAFFIC GOING TO A SPECIFIC IP

This will show us all traffic going to 192.168.0.2 that is not ICMP.

4. TRAFFIC FROM A HOST THAT ISN’T ON A SPECIFIC PORT

This will show us all traffic from a host that isn’t SSH traffic (assuming default port usage).

As you can see, you can build queries to find just about anything you need. The key is to first figure out precisely what you’re looking for and then to build the syntax to isolate that specific type of traffic.

Summary

tcpdump is a valuable tool for anyone looking to get into networking or information security. The raw way it interfaces with traffic, combined with the precision it offers in inspecting packets make it the best possible tool for learning TCP/IP. Protocol Analyzers like Wireshark are great, but if you want to truly master packet-fu, you must become one with tcpdump first.

Well, this primer should get you going strong, but the man page should always be handy for the most advanced and one-off usage scenarios. I truly hope this has been useful to you.

установка и использование tcpdump

tcpdump — мощный анализатор командной строки и Libpcap, портативная библиотека для захвата сетевого трафика. Tcpdump выводит описание содержимого пакетов на сетевом интерфейсе, которые соответствуют логическое выражение. Он также может быть запущен с ключом -w, который вызывает его, чтобы сохранить пакетные данные в файл для последующего анализа, и / или с -r флагом, который вызывает его для чтения из сохраненного файла пакета. С помощью этой утилиты можно перехватывать и так же анализировать сетевой трафик который проходит через ПК на котором запущенна данная программа.

Хотелось бы поговорить в данной теме «установка и использование tcpdump» об установке tcpdump, а так же как им пользоваться и для чего он нужен.

С помощью tcpdump можно:

  • Можно делать отладку сетевых приложений.
  • Можно производить отладку сети или сетевого оборудования в целом.

описание tcpdump

Чтобы установить tcpdump на debian/ubuntu/linux mint нужно выполнить:

Для того чтобы установить tcpdump на RedHat/CentOS/Fedora используйте:

Для того чтобы установить tcpdump на MacOS используйте.

Использование tcpdump.

Чтобы проверить работает ли у нас tcpdump можно выполнить команду:

Существует довольно много ключей для использования самой утилиты tcpdump, приведу список распространенных:

основные ключи для использования tcpdump

основные ключи для использования tcpdump

Если нужно узнать какими пакетами обменивается 21 сервера ( например your_server_1 и your_server_2), то для этого служит команда:

Если нужно отслеживать только исходящие пакеты из хоста, то выполните:

Если нужно отслеживать только входящие пакеты из хоста, то выполните:

Так же можно прослушивать исходящие или входящие пакеты с сервера и по определенному порту для этого просто добавьте порт который нужно прослушивать ( в основном используется 80, 8080).

См. список интерфейсов, по которым tcpdumt можете слушать:

Слушать интерфейс eth0:

Слушать на любом доступном интерфейсе (Требуется ядро Linux версии 2.2 или выше):

Вывод всего на экран (все что выполняется программой):

Вывод много чего на экран (все что выполняется программой):

Вывод очень много всего на экран (все что выполняется программой):

Выводить не сильно много информации когда идет захват пакетов (не как стандартный):

Ограничить захват пакетов до 100:

Записать все данные (перехваченные пакеты) в файл с именем capture.cap:

Записать все данные (перехваченные пакеты) в файл с именем capture.cap и вывести на экран в режиме реального времени:

Вывод пакетов с файла capture.cap:

Вывод пакетов с файла capture.cap используя максимально много информации:

Вывод IP и порты вместо доменов идет захват пакетов:

Захват любых пакетов , где хост назначения — 192.138.1.1. Вывод ИП и порты на экран:

Захват любых пакетов c хоста 192.138.1.1. Вывод ИП и порты на экран:

Захват любых пакетов c хоста 192.138.1.1. Вывод ИП и порты на экран:

Захват пакетов где сеть 192.138.1.0/24. Вывод ИП и порты на экран:

Захват пакетов с сети 192.138.1.0/24. Вывод ИП и порты на экран:

Захват пакетов с сети 192.138.1.0/24. Вывод ИП и порты на экран:

Захват пакетов с порта 23. Вывод ИП и порты на экран:

Захват пакетов с портов 1 по 1023. Вывод ИП и порты на экран:

Захватывать только TCP пакеты где destination на портах 1 по 1023. Вывод ИП и порты на экран:

Захватывать только UDP пакеты где destination на портах 1 по 1023. Вывод ИП и порты на экран:

Захват пакетов с destination где ИП 192.138.1.1 и destination порт которого 23. Вывод на экран:

Захват пакетов с destination где ИП 192.138.1.1 и destination по портам 80 или 443. Выводим на экран:

Захват любых ICMP пакетов:

Захват любых ARP пакетов:

Захват любых ICMP или ARP пакетов:

Захват любых пакетов которые broadcast или multicast:

Захват больших пакетов (500 байт) а не стандартных 68б:

Захват всех байт данных в пакете:

Просмотр «тяжелых пакетов»:

Захват пакетов ICMP с ping и pong:

Вывод без многих вариантов:

Основные коммуникации (очень подробный режим), можно увидеть хороший объем трафика, с многословием:

Глубокий взгляд на трафик, добавляет -X для полезной нагрузки:

Просмотр тяжелого пакета и увеличивает snaplength, захватывая весь пакет:

Вы можете также фильтровать на основе определенных частей пакета, а также объединить несколько условий в группы. Это полезно при поиске только SYNs или РСТ, например, и последний для еще более расширенный изоляцией трафика.

Показать мне все URGENT (URG) пакеты:

Показать мне всеACKNOWLEDGE (ACK) пакеты:

Показать мне все PUSH (PSH) пакеты:

Показать мне все RESET (RST) пакеты:

Показать мне все SYNCHRONIZE (SYN) пакеты:

Показать мне все FINISH (FIN) пакеты:

Показать мне все SYNCHRONIZE/ACKNOWLEDGE (SYNACK) пакеты:

Захват TCP Flags используя tcpflags:

Пакеты с RST и SYN флагами (проверка):

Траффик с ‘Evil Bit'(проверка):

На этом я завершу свою статью «установка и использование tcpdump», надеюсь все ясно и понятно. Спасибо за использование моего интернет ресурса http://linux-notes.org

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Читать еще:  Почему не слышно собеседника в Дискорде
Ссылка на основную публикацию
Adblock
detector
×
×