tcpdump: простые примеры
Тут я приведу несколько простейших примеров, которыми часто пользуюсь.
Посмотреть сетевые интерфейсы:
tcpdump -D
1.eth0
2.nflog (Linux netfilter log (NFLOG) interface)
3.nfqueue (Linux netfilter queue (NFQUEUE) interface)
4.eth1
5.any (Pseudo-device that captures on all interfaces)
6.lo
Снять дамп с определенного интерфейса:
tcpdump -i eth0
02:35:16.803278 IP 172.16.0.61.ssh > 192.168.45.63.61554: Flags [P.], seq 2995336:2995708, ack 14353, win 240, length 372
02:35:16.803295 IP 192.168.45.63.61554 > 172.16.0.61.ssh: Flags [.], ack 2995172, win 257, length 0
02:35:16.803437 IP 172.16.0.61.ssh > 192.168.45.63.61554: Flags [P.], seq 2995708:2995984, ack 14353, win 240, length 276
Дамп на определенный хост:
tcpdump dst host 172.16.0.61
02:37:58.884223 IP google-public-dns-a.google.com.domain > 172.16.0.61.60900: 47496 NXDomain 0/0/0 (42)
02:37:58.887769 IP google-public-dns-a.google.com.domain > 172.16.0.61.37612: 19926 1/0/0 PTR google-public-dns-a.google.com. (82)
02:37:59.091947 IP 192.168.45.63.61554 > 172.16.0.61.ssh: Flags [.], ack 685, win 256, length 0
Дамп с определенного хоста:
tcpdump src host 172.16.0.61
02:38:38.981476 IP 172.16.0.61.35252 > google-public-dns-a.google.com.domain: 9554+ PTR? 8.8.8.8.in-addr.arpa. (38)
02:38:38.981595 IP 172.16.0.61.ssh > 192.168.45.63.61554: Flags [P.], seq 196:376, ack 53, win 240, length 180
02:38:38.983133 IP 172.16.0.61.ssh > 192.168.45.63.61554: Flags [P.], seq 376:892, ack 53, win 240, length 516
Дамп, связанный с хостом:
tcpdump host 172.16.0.61
02:39:19.357852 IP 172.16.0.61.39159 > google-public-dns-a.google.com.domain: 48051+ PTR? 61.0.16.172.in-addr.arpa. (42)
02:39:19.358336 IP 192.168.45.63.61554 > 172.16.0.61.ssh: Flags [.], ack 196, win 255, length 0
02:39:19.359523 IP google-public-dns-a.google.com.domain > 172.16.0.61.39159: 48051 NXDomain 0/0/0 (42)
Дамп, не связанный с хостом:
tcpdump not host 192.168.45.63
02:41:05.636464 IP 172.16.0.61.47407 > google-public-dns-a.google.com.domain: 55895+ PTR? 102.156.255.178.in-addr.arpa. (46)
02:41:05.639948 IP 172.16.9.17.50376 > 188.43.75.104.http: Flags [P.], seq 4294223594:4294223795, ack 1902545256, win 32000, length 201
02:41:05.768408 IP google-public-dns-a.google.com.domain > 172.16.0.61.47407: 55895 1/0/0 PTR server22703.teamviewer.com. (86)
Содержимое пакетов определенных сетей:
tcpdump -X net 172.16.9.0/24 and 172.16.1.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
02:51:52.170894 IP 172.16.9.20.51579 > 172.16.1.193.http: Flags [S], seq 676513001, win 32000, options [mss 1420], length 0
0x0000: 4500 002c 9b07 0000 fd06 bfce ac10 0914 E..,............
0x0010: ac10 01c1 c97b 0050 2852 c4e9 0000 0000 .....{.P(R......
0x0020: 6002 7d00 0151 0000 0204 058c `.}..Q......
Дамп на 80 порт с определенного интерфейса и адреса:
tcpdump dst port 80 -i eth0 and host 172.16.9.12
02:56:21.750336 IP 172.16.9.12.51787 > 188.43.75.104.http: Flags [R.], seq 2671521203, ack 3762640354, win 32000, length 0
02:56:21.750416 IP 172.16.9.12.51787 > 188.43.75.104.http: Flags [R.], seq 0, ack 1, win 32000, length 0
02:56:22.386110 IP 172.16.9.12.51787 > 188.43.75.104.http: Flags [R], seq 2671521002, win 0, length 0
Комментарии пользователей
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!
|