Что такое tcpdump?
Tcpdump является общим анализатором пакетов, который позволяет пользователю отображать TCP/IP и другие пакеты, передаваемые или принимаемые по сети. Tcpdump работает на большинстве Unix-подобных операционных систем: Linux, Solaris, FreeBSD, DragonFly BSD, NetBSD, OpenBSD, Openwrt, macOS, HP-UX 11i и AIX. Tcpdump использует библиотеку libpcap для сбора пакетов.
Tcpdump также доступен в Windows в виде порта под названием WinDump; Он использует WinPcap, портированную версию libpcap.
Как использовать tcpdump
Для получения обзора доступных опций можно выполнить следующую команду для отображения меню справки:
Код:
tcpdump -hДля начала укажите используемый интерфейс и хост, трафик которого требуется проанализировать:
Код:
tcpdump -i <interfacename> -v host <ipaddressofhost>Также можно указать IP-адрес адресата и проанализировать трафик, заканчивающийся на этом хосте:
Код:
tcpdump -i eth0 -v dst ipaddressИспользуй фильтры
Вы можете использовать различные фильтры для сбора определенного трафика на основе источника и назначения, например, мы можем указать исходный и целевой IP-адреса, чтобы сузить наш анализ:
Код:
tcpdump -i eth0 -v dst ipaddress and src ipaddressКроме того, можно сканировать трафик всей подсети с помощью следующей команды:
Код:
tcpdump -i eth0 -v net 192.168.0.1/254Также можно анализировать конкретные данные протоколов с помощью имени протокола, трафик которого требуется проанализировать:
Код:
tcpdump -i eth0 -v tcp and net ipaddress with rangeЭкспорт захваченного трафика
Отличительной особенностью tcpdump является возможность экспорта или захвата трафика непосредственно в файл .pcap для последующего анализа или для использования в Vishark. Для этого можно выполнить следующую команду:
Код:
tcpdump -w /root/Desktop/name.pcap -i eth0 -v ‘src port 443 and dst ipaddress’Руководство
——————
Ссылка скрыта от гостей