Tcpdump Cheat Sheet

CENT OS și REDHAT

$ sudo yum instala tcpdump

Fedora

$ dnf install tcpdump

Ubuntu, Debian și Linux Mint

# apt-get install tcpdump

Intrerupator

Sintaxă

Descriere

-sunt orice

tcpdump -i oricare

Capturați din toate interfețele

-eu et0

tcpdump -i eth0

Capturarea din interfața specifică (Ex Eth0)

-c

tcpdump -i eth0 -c 10

Prindeți primele 10 pachete și ieșiți

-D

tcpdump -D

Afișează interfețe disponibile

-A

tcpdump -i eth0 -A

Tipăriți în ASCII

-w

tcpdump -i eth0 -w tcpdump.txt

Pentru a salva captura într-un fișier

-r

tcpdump -r tcpdump.txt

Citiți și analizați fișierul de captare salvat

-n

tcpdump -n -I eth0

Nu rezolvați numele gazdelor

-nn

tcpdump -n -i eth0

Opriți traducerea și căutarea numelor de domeniu (nume de gazdă sau nume de port)

tcp

tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp

Capturați doar pachete TCP

port

tcpdump -i port 80 et0

Captați traficul numai dintr-un port definit

gazdă

gazdă tcpdump 192.168.1.100

Prindeți pachete de la o gazdă specifică

net

tcpdump net 10.1.1.0/16

Capturați fișierele din subrețeaua de rețea

src

tcpdump src 10.1.1.100

Capturați de la o adresă sursă specifică

dst

tcpdump dst 10.1.1.100

Capturați de la o adresă de destinație specifică

tcpdump http

Filtrați traficul pe baza unui număr de port pentru un serviciu

port 80 tcpdump

Filtrați traficul pe baza unui serviciu

port port

tcpdump portrange 21-125

Filtrul pe baza portului

-S

tcpdump -S http

Afișați întregul pachet

ipv6

tcpdunp -IPV6

Afișați doar pachete IPV6

-d

tcpdump -d tcpdump.pcap

afișează o formă care poate fi citită de om în ieșire standard

-F

tcpdump -F tcpdump.pcap

Utilizați fișierul dat ca intrare pentru filtru

-eu

tcpdump -I eth0

setați interfața ca mod de monitorizare

-L

tcpdump -L

Afișați tipurile de linkuri de date pentru interfață

-N

tcpdump -N tcpdump.pcap

nu tipăresc nume dominante

-K

tcpdump -K tcpdump.pcap

Nu verificați controlul

-p

tcpdump -p -i eth0

Nu se captează în modul promiscu

Operator

Sintaxă

Exemplu

Descriere

ȘI

și, &&

tcpdump -n src 192.168.1.1 și dst port 21

Combinați opțiunile de filtrare

SAU

sau, ||

tcpdump dst 10.1.1.1 && !ICMP

Oricare dintre condiții se poate potrivi

CU EXCEPTIA

nu, !

tcpdump dst 10.1.1.1 și nu icmp

Negarea condiției

MAI PUȚIN

<

tcpdump <32

Prezintă dimensiunea pachetelor sub 32

MAI MARE

>

tcpdump >= 32

Afișează dimensiunea pachetelor mai mare de 32

Intrerupator

Descriere

-q

Modul destul de puțin verbos afișează mai puține detalii

-T

Nu imprimați detaliile de timbru de timp în dump

-v

Puternică ieșire a verbelor

-vv

Mai multă ieșire verbală

-VVV

Cele mai multe ieșiri verbose

-X

Tipăriți date și anteturi în format HEX

-xx

Tipăriți date cu anteturi de legături în format HEX

-X

Ieșire de imprimare în format HEX și ASCII F? r? anteturi de legătură

-XX

Ieșire de imprimare în format HEX și ASCII inclusiv anteturi de legătură

-e

Tipărire anteturi Link Link (Ethernet)

-S

Tipăriți numerele secvenței în format exact

Ether, fddi, icmp, ip, ip6, ppp, radio, rarp, slip, tcp, udp, wlan

src / dsthost (numele gazdei sau IP)

Filtrați după sursa sau adresa IP de destinație sau gazdă

Ether src / dst gazdă (nume gazdă ethernet sau IP)

Filtrare gazdă Ethernet după sursă sau destinație

src / dstnet (mască de subrețea în CIDR)

Filtrați prin subrețea

port tcp / udp src / dst (număr port)

Filtrați pachetele TCP sau UDP după sursă sau portul de destinație

tcp / udp src / dst interval port (interval de numere port)

Filtrați pachetele TCP sau UDP în funcție de sursă sau de portul de destinație

transmisie eter / ip

Filtru pentru emisiuni Ethernet sau IP

multicast eter / ip

Filtru pentru multicasturi Ethernet sau IP