Command и примери за използване на Tcpdump

Инсталиране на приложение Tcpdump

В Debian / Ubuntu / Linux Mint система, направете следното:

В RedHat / CentOS / Fedora система, трябва да направите следното:

Описание на бутоните за кандидатстване Tcpdump

Следват няколко примера, които ще ви помогнат да намерите по-лесно да се разбере и по-лесно да се работи с молба Tcpdump.

Tcpdump, по подразбиране, получава само първите 68 байта на данни 96 от пакета. Ако искате да видите по-подробни пакети, добавете опция -s. където число е броя на байтовете, които искате да заснемете. Ако зададете -s 0 (нула) - това означава да улови всички пакети. Ето един кратък списък от опции, които се използват най-много:

Примери за използване на приложения Tcpdump

Различни изрази ви позволяват лесно да се намери необходимата трафик. Tcpdump ви позволява да настроите филтри гъвкаво. Приложението Tcpdump, има три типа израз: тип, реж и прото.

Изразът се отнася до следния тип гостоприемник, мрежата и пристанището. Изрази като реж - е Src, DST, SRC или DST и SRC и DST. По-долу са дадени примери за използване на различни изрази:

SRC. DST - търсене в определен източник или определена цел (избира трафик от едната страна)

нето - улавя целия трафик в мрежата, трябва да зададете маска на подмрежата

прото - работи с протоколи TCP, UDP и ICMP. (Не пишете прото)

порт - улавя движението на конкретен порт

SRC / DST, порт, протокол - комбинация от трите изрази

Възможно е също така да се филтрират от редица пристанища.

portrange - улавяне на движението по редица пристанища

по-малко. по-голямо - изземване на определен размер в байтове на трафик

И в този случай, можете да използвате символи (> =)

Tcpdump ви позволява да запишете заснетото трафик във файла. За да направите това, вие трябва да използвате -w ключа. Ако искате да прочетете трафик от даден файл, трябва да използвате опция -r.

Когато записвате файл, че е желателно да се използва разширението на файла или * * .cap .pcap. В бъдеще, в резултат може да бъде отворен в WireShark.

Запишете целия трафик на порт 5060 до файла.

Когато можете да качите файла отново с необходимостта от Tcpdump.

Използване на изрази, AND, OR и NOR

Tcpdump ви позволява да комбинирате изрази с помощта на логически изрази

TCP трафик от 192.168.2.113 и пристанището дестинация на 5060

Трафик от мрежа 192.168.0.0 до 10.0.0.0 мрежа 172.16.0.0 или

Изключване на ICMP пакети, 192.168.0.2 на дестинация, източник подмрежа 172.16.0.0

Офис трафик от хоста, а не на SSH порт

Филтрите могат да се групират, за това ще трябва да използвате скоби (). Когато е необходимо да се използват кавички сложни изрази.

Трафик от 192.168.2.114 и местоназначението пристанища 5060 или 22

Разширени настройки за филтриране

Можете да филтрирате трафика на основата на определени части от пакета. То може да бъде полезно, когато търсите за показване на пакети, които съдържат АСК или SYN.

Покажи СПЕШНИ пакети (URG)

Показване на пакети ПРИЕМАТ (АСК)

Покажи PUSH пакети (PSH)

Показване на пакети RESET (RST)

Покажи синхронизирате пакети (син)

Покажи Довършителни пакети (FIN)

Покажи синхронизирате / ПРИЕМАТ пакети (SYNACK)

Примери за използване Tcpdump

Тук ние показваме, филтри, които самите ние използваме, за да улови SIP трафик.

- Заснемане на целия трафик на порт 5060 и запазите като файл

- Заснемане на трафика от всички интерфейси на хоста 10.81.25.201 и пишат до файла (файла е включена в името на хост машината и датата е много удобна за съхранение)