tcpdump: примеры использования

Автор: | 19/01/2012
 

Наболее используемые ключи утилиты tcpdump.

Запись вывода в файл tctdump.txt и сразу отобразить содержимое файла tctdump.txt с помощью утилиты tail:

# tcpdump -l > tctdump.txt & tail -f tctdump.txt
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
^C129 packets captured
137 packets received by filter
0 packets dropped by kernel

Указать tcpdump-у слушать только трафик с определённого IP-адреса:

# tcpdump host 93.74.55.57
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:51:57.107811 IP 52.106.120.77.colo.static.dc.volia.com.http > pageant.charades.volia.net.51187: Flags [F.], seq 2227755061, ack 2215103730, win 65535, options [nop,nop,TS val 274414601 ecr 1128201], length 0

Или, наоборот – трафик только от нас к определённому хосту:

# tcpdump ip host 93.74.55.57
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:54:59.376192 IP pageant.charades.volia.net.51512 > 52.106.120.77.colo.static.dc.volia.com.http: Flags [F.], seq 1956557283, ack 1976344878, win 64574, options [nop,nop,TS val 1146913 ecr 2220689894], length 0

Можно задать только порт:

# tcpdump src port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:53:23.061776 IP akira.website.co.ua.smtp > pageant.charades.volia.net.51367: Flags [S.], seq 1086568297, ack 554685032, win 65535, options [mss 1460,sackOK,TS val 2584959812 ecr 1137281], length 0

Включить подробную запись пакетов можно ключами -v, -vv или vvv:

# tcpdump -vvv
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
14:02:48.358296 IP (tos 0x10, ttl 64, id 29271, offset 0, flags [DF], proto TCP (6), length 100)
akira.website.co.ua.ssh > nat.merlin.dc.volia.com.63211: Flags [P.], seq 806286396:806286444, ack 3169785430, win 8326, options [nop,nop,TS val 4232196447 ecr 10602257], length 48

Не преобразовывать IP-адреса в имена хостов. Например, обычный вывод:

# tcpdump

11:46:26.915676 IP akira.setevoy.org.ua.2222 >

И с ключём -n:

# tcpdump -n

11:46:31.890498 IP 77.120.106.40.2222 >

Сокращённый вывод информации:

# tcpdump -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:49:12.326330 IP akira.setevoy.org.ua.2222 > nat.wisdom.dc.volia.com.57134: tcp 208
11:49:12.327053 IP nat.wisdom.dc.volia.com.57134 > akira.setevoy.org.ua.2222: tcp 0

Не отображать время:

# tcpdump -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
IP akira.setevoy.org.ua.2222 > nat.wisdom.dc.volia.com.57134: Flags [P.], seq 1820696995:1820697203, ack 24103219, win 1040, options [nop,nop,TS val 404523062 ecr 14739375], length 208

Вывести список доступных сетевых интерфейсов:

# tcpdump -D
1.em0
2.ipfw0
3.lo0

Слушать только определённый интерфейс:

# tcpdump -i eth0