- Возможности tcpdump
- Примеры использования tcpdump
- Захватить весь трафик
- Сохранить захваченный трафик в файл
- Отобразить захваченный трафик
- Фильтровать трафик по исходному IP-адресу
- Фильтровать трафик по IP-адресу назначения
- Фильтровать трафик по порту
- Фильтровать трафик по протоколу
- Отобразить трафик в ASCII-формате
- Отобразить трафик в шестнадцатеричном формате
- Захватить определенное количество пакетов
- Захватить и отобразить трафик IPv6
- Отобразить захваченный трафик в формате временных меток
- Захватить трафик на определенном интерфейсе
- Захватить определенный протокол и порт
- Фильтровать трафик по исходному и назначению
- Захватывает заголовки HTTP-запросов и ответов
- Фильтрует трафик по диапазону IP-адресов и протоколу
- Захватывает трафик DNS и разрешает имена хостов
- Захватывает трафик управляющего канала FTP
- Отслеживает подключения SSH
- Заключение
Tcpdump — это мощный инструмент командной строки, который используется для захвата и анализа сетевого трафика. В статье рассмотрим примеры использования tcpdump.
Еще по теме: Аналоги tcpdump
Возможности tcpdump
TCPdump — это инструмент для захвата и анализа сетевого трафика.
Вот некоторые возможности, которые предоставляет tcpdump:
- Позволяет захватывать и отображать сетевые пакеты, проходящие через определенный сетевой интерфейс вашего компьютера. Вы можете указать конкретные параметры фильтрации, чтобы захватывать только интересующие вас пакеты.
- Обладает мощными возможностями фильтрации, позволяющими отображать только определенные типы пакетов или пакеты, соответствующие определенным условиям. Например, вы можете фильтровать пакеты по их источнику или назначению, протоколу, порту или другим параметрам.
- Выводит содержимое захваченных пакетов, включая заголовки и данные, что позволяет анализировать сетевую активность, отслеживать протоколы и искать проблемы сетевого взаимодействия.
- Может сохранять захваченные пакеты в файлы для последующего анализа или обработки. Затем вы можете использовать tcpdump или другие инструменты для чтения и анализа этих файлов.
- Может быть использован в скриптах или с другими инструментами командной строки для автоматизации процесса анализа сетевого трафика. Вы можете использовать его в сочетании с другими утилитами, такими как Wireshark, для более подробного анализа.
Примеры использования tcpdump
Захватить весь трафик
1 |
$ sudo tcpdump -i eth0 |
Захватывает трафик на интерфейсе eth0 и отображает подробности пакетов в реальном времени.
Сохранить захваченный трафик в файл
1 |
$ sudo tcpdump -i eth0 -w capture.pcap |
Захватывает трафик на интерфейсе eth0 и сохраняет его в файл с именем «capture.pcap» для последующего анализа.
Отобразить захваченный трафик
1 |
$ tcpdump -r capture.pcap |
Считывает и отображает подробности пакетов из ранее захваченного файла «capture.pcap».
Фильтровать трафик по исходному IP-адресу
1 |
$ tcpdump src 192.168.0.1 |
Захватывает пакеты, исходящие от определенного IP-адреса источника, например, 192.168.0.1.
Фильтровать трафик по IP-адресу назначения
1 |
$ tcpdump dst 192.168.0.1 |
Захватывает пакеты, предназначенные для определенного IP-адреса, например, 192.168.0.1.
Фильтровать трафик по порту
1 |
$ tcpdump port 80 |
Захватывает пакеты с определенным номером порта, например, порт 80 (HTTP).
Фильтровать трафик по протоколу
1 |
$ tcpdump icmp |
Захватывает пакеты с использованием определенного сетевого протокола, такого как ICMP (ping).
Отобразить трафик в ASCII-формате
1 |
$ tcpdump -A |
Отображает содержимое пакетов в ASCII-формате для лучшей читаемости.
Отобразить трафик в шестнадцатеричном формате
1 |
$ tcpdump -X |
Показывает содержимое пакетов в шестнадцатеричном и ASCII-формате.
Захватить определенное количество пакетов
1 |
$ tcpdump -c 100 |
Захватывает только первые 100 пакетов, а затем завершает работу.
Захватить и отобразить трафик IPv6
1 |
$ tcpdump -6 |
Захватывает и анализирует пакеты IPv6 для комплексного анализа сети.
Отобразить захваченный трафик в формате временных меток
1 |
$ tcpdump -tttt |
Отображает захваченные пакеты с временной меткой в удобочитаемом формате.
Захватить трафик на определенном интерфейсе
1 |
$ tcpdump -i wlan0 |
Захватывает сетевой трафик на определенном интерфейсе, например, wlan0 (беспроводной интерфейс).
Захватить определенный протокол и порт
1 |
$ tcpdump tcp port 443 |
Захватывает только пакеты TCP на порту 443 (HTTPS).
Фильтровать трафик по исходному и назначению
1 |
$ tcpdump src 192.168.0.1 and dst 192.168.0.2 |
Захватывает пакеты между определенным исходным IP-адресом (192.168.0.1) и IP-адресом назначения (192.168.0.2).
Захватывает заголовки HTTP-запросов и ответов
1 |
$ tcpdump -i eth0 -s 0 -A -n 'tcp dst port 80' |
Захватывает и отображает HTTP-трафик на порту 80, включая заголовки запросов и ответов ( -A для вывода в ASCII).
Фильтрует трафик по диапазону IP-адресов и протоколу
1 |
$ tcpdump -i eth0 'net 192.168.0.0/24 and (tcp port 22 or icmp)' |
Захватывает пакеты в диапазоне IP-адресов 192.168.0.0/24, фильтруя SSH (порт 22) и ICMP-трафик.
Захватывает трафик DNS и разрешает имена хостов
1 |
$ tcpdump -i eth0 'udp port 53' -nnvvv |
Захватывает пакеты DNS на порту 53 и отображает подробный вывод ( -nnvvv) без разрешения имен хостов.
Захватывает трафик управляющего канала FTP
1 |
$ tcpdump -i eth0 -s 0 'tcp port 21' |
Захватывает трафик управляющего канала FTP на порту 21, включая команды и ответы, передаваемые между клиентом и сервером FTP.
Отслеживает подключения SSH
1 |
$ tcpdump -i eth0 'tcp port 22' -l -e |
Отслеживает подключения SSH, захватывая пакеты на порту 22, отображая их в реальном времени ( -l) и включая заголовки Ethernet ( -e).
Заключение
Помните, что TCPdump предоставляет множество вариантов фильтрации для уточнения анализа на основе конкретных критериев. Экспериментируйте с разными фильтрами, чтобы получить ценную информацию о трафике вашей сети.
Tcpdump предоставляет базовый уровень анализа сетевого трафика. Для более подробного и сложного анализа может потребоваться использование специализированных инструментов, таких как Wireshark.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Перехват трафика в локальной сети по проводу
- Дамп сетевого трафика в Linux с помощью tcpdump
- Использование tcpdump для создания дампа трафика Android