tcpdump: опции захвата и просмотра данных

Опций команды tcpdump для упрощения и фильтрации захвата пакетов. Вы можете использовать эту утилиту для перехвата сетевого трафика для устранения неполадок и анализа (а также для подслушивания).

Опция -r

Если вы записали сетевой трафик в pcap-файл, вы знаете, что не можете использовать простой текстовый редактор для чтения содержимого файла. Следовательно, вы должны использовать опцию -r file.pcap. Он читает существующие файлы захвата и печатает их в качестве вывода.

Опция хоста

Если вы хотите фильтровать трафик для определенного хоста, вы можете использовать ip или имя хоста для захвата пакетов для определенного хоста.

Вы можете использовать ключевые слова src или dst, чтобы указать tcpdump, должны ли перехваченные пакеты содержать хост в адресе источника или назначения, например, вы можете попробовать запустить

или

Логические операторы

tcpdump поддерживает операторы and/or/not в качестве ключевых слов, например, tcpdump -i eth0 "host example.com and (port 80 or port 443)". Разумно использовать кавычки вокруг составных выражений, чтобы bash не пытался интерпретировать скобки.

Ключевое слово net

Ключевое слово net может быть использовано для указания сети для захвата с помощью нотации CIDR. Вы можете использовать CIDR сети src и dst с логическим оператором и фильтровать пакеты более точно.

Ключевое слово ether

С помощью ключевого слова ether host можно применять фильтры, чтобы ограничить захват трафика MAC-адресом. Используйте параметр -e для печати заголовка уровня канала в каждой строке дампа. Это можно использовать, например, для печати адресов MAC-уровня для таких протоколов, как Ethernet и IEEE 802.11. Приведенный ниже пример фиксирует широковещательный трафик уровня 2:

Ключевое слово ip6

Трафик IPv6 можно перехватить с помощью ключевого слова ip6. Вот пример: