• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Tcpdump - Руководство по захвату и анализу трафика

Tcpdump - Руководство по захвату и анализу трафика.png



Что такое tcpdump?
Tcpdump является общим анализатором пакетов, который позволяет пользователю отображать TCP/IP и другие пакеты, передаваемые или принимаемые по сети. Tcpdump работает на большинстве Unix-подобных операционных систем: Linux, Solaris, FreeBSD, DragonFly BSD, NetBSD, OpenBSD, Openwrt, macOS, HP-UX 11i и AIX. Tcpdump использует библиотеку libpcap для сбора пакетов.

Tcpdump также доступен в Windows в виде порта под названием WinDump; Он использует WinPcap, портированную версию libpcap.

Как использовать tcpdump
Для получения обзора доступных опций можно выполнить следующую команду для отображения меню справки:
Код:
tcpdump -h

Для начала укажите используемый интерфейс и хост, трафик которого требуется проанализировать:
Код:
tcpdump -i <interfacename> -v host <ipaddressofhost>

Также можно указать IP-адрес адресата и проанализировать трафик, заканчивающийся на этом хосте:
Код:
tcpdump -i eth0  -v dst ipaddress

Используй фильтры
Вы можете использовать различные фильтры для сбора определенного трафика на основе источника и назначения, например, мы можем указать исходный и целевой IP-адреса, чтобы сузить наш анализ:
Код:
tcpdump -i eth0 -v dst ipaddress and src ipaddress

Кроме того, можно сканировать трафик всей подсети с помощью следующей команды:
Код:
tcpdump -i eth0 -v net 192.168.0.1/254

Также можно анализировать конкретные данные протоколов с помощью имени протокола, трафик которого требуется проанализировать:
Код:
tcpdump -i eth0 -v tcp and net ipaddress with range

Экспорт захваченного трафика
Отличительной особенностью tcpdump является возможность экспорта или захвата трафика непосредственно в файл .pcap для последующего анализа или для использования в Vishark. Для этого можно выполнить следующую команду:
Код:
tcpdump -w /root/Desktop/name.pcap -i eth0 -v ‘src port 443 and dst ipaddress’


Руководство
—————
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!