шпаргалка tcpdump

CENT OS и REDHAT

$ sudo yum установить tcpdump

мягкая фетровая шляпа

$ dnf установить tcpdump

Ubuntu, Debian и Linux Mint

# apt-get install tcpdump

переключатель

Синтаксис

Описание

-я любой

tcpdump -i любой

Захват со всех интерфейсов

-я eth0

tcpdump -i eth0

Захват с определенного интерфейса (Ex Eth0)

-с

tcpdump -i eth0 -c 10

Захват первых 10 пакетов и выход

-D

ТСРйитр -D

Показать доступные интерфейсы

–

tcpdump -i eth0 -A

Печать в ASCII

-вес

tcpdump -i eth0 -w tcpdump.txt

Сохранить захват в файл

-р

tcpdump -r tcpdump.txt

Прочитайте и проанализируйте сохраненный файл захвата

-N

tcpdump -n -I eth0

Не разрешать имена хостов

-пп

tcpdump -n -i eth0

Остановить преобразование и поиск доменных имен (имена хостов или портов)

ТСР

tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp

Захват только TCP-пакетов

порт

tcpdump -i eth0 порт 80

Захватывать трафик только с определенного порта

хозяин

хост tcpdump 192.168.1.100

Захват пакетов с определенного хоста

сеть

tcpdump net 10.1.1.0/16

Захват файлов из сетевой подсети

ЦСИ

tcpdump src 10.1.1.100

Захват с определенного адреса источника

ДСТ

tcpdump dst 10.1.1.100

Захват с определенного адреса назначения

tcpdump http

Фильтрация трафика по номеру порта для службы

порт 80 tcpdump

Фильтрация трафика по сервису

диапазон портов

tcpdump portrange 21-125

Фильтр на основе диапазона портов

-S

tcpdump -S http

Показать весь пакет

ipv6

tcpdunp -IPV6

Показывать только пакеты IPV6

-d

tcpdump -d tcpdump.pcap

отображать удобочитаемую форму в стандартном выводе

-F

tcpdump -F tcpdump.pcap

Использовать данный файл в качестве входных данных для фильтра

-я

tcpdump -I eth0

установить интерфейс в качестве режима монитора

-L

tcpdump -L

Отобразить типы каналов передачи данных для интерфейса

-N

tcpdump -N tcpdump.pcap

не печатать домианские имена

-К

tcpdump -K tcpdump.pcap

Не проверять контрольную сумму

-п

tcpdump -p -i eth0

Не захватывает в случайном режиме

оператор

Синтаксис

пример

Описание

И

и, &&

tcpdump -n src 192.168.1.1 и порт dst 21

Объединить параметры фильтрации

ИЛИ

или ||

tcpdump dst 10.1.1.1 && !ICMP

Любое из условий может соответствовать

КРОМЕ

не, !

tcpdump dst 10.1.1.1, а не icmp

Отрицание состояния

МЕНЬШЕ

<

ТСРйитр <32

Показывает размер пакета менее 32

ПОВЫШЕНИЕ

>

ТСРйитр >= 32

Показывает размер пакета больше 32

переключатель

Описание

-Q

Довольно и менее многословный режим отображает меньше деталей

-T

Не печатать детали отметки времени в дампе

-v

Немного многословный вывод

-ст

Более подробный вывод

-VVV

Самый подробный вывод

-Икс

Печать данных и заголовков в формате HEX

-хх

Печать данных с заголовками ссылок в формате HEX

-Икс

Вывод на печать в формате HEX и ASCII без учета заголовки ссылок

-XX

Вывод на печать в формате HEX и ASCII в том числе заголовки ссылок

-е

Заголовки Print Link (Ethernet)

-S

Печатать порядковые номера в точном формате

Ether, fddi, icmp, ip, ip6, ppp, радио, rarp, слип, tcp, udp, wlan

src / dsthost (имя хоста или IP)

Фильтр по IP-адресу источника или назначения или хосту

хост Ethernet src / dst (имя хоста Ethernet или IP)

Фильтрация хоста Ethernet по источнику или назначению

src / dstnet (маска подсети в CIDR)

Фильтровать по подсети

порт tcp / udp src / dst (номер порта)

Фильтрация пакетов TCP или UDP по порту источника или назначения

диапазон портов tcp / udp src / dst (диапазон номеров портов)

Фильтрация пакетов TCP или UDP по диапазону портов источника или назначения

эфир / ip трансляция

Фильтр для Ethernet или IP-трансляций

ether / ip multicast

Фильтр для многоадресных рассылок Ethernet или IP