Tcpdump

Iš Žinynas.
Jump to navigation Jump to search

Tcpdump yra tinklu keliaujančių paketų analizavimo pagalbininkas (Snifferis) jis išveda visą turinį iš tinklo interfeiso in/out paketų pagal tam tikras taisykles. Taip pat galima -w funkcija kuri leidžia išsaugoti paketų duomenis į failą tolimensiam tyrimui, -r funkcija skirta įkrauti tokius failus.

Tcpdump veikia visą laiką, jei paleistas be -c parametro ir monitorina tol kol nenutraukiamas su SIGINT signalu (Ctrl+c) arba SIGTERM signalu (Kill komanda). Jei bus paleistas su -c parametrus baiks darbą tiktai po SIGINT signalo arba kai baigs monitorinti nustatytą skaičių paketų (pvz -c 40).

Kai tcpdump baigia darbą, raportuoja apie:

  • Išanalizuotų paketų skaičių.
  • Gautų paketų skaičių.
  • Kernelio atmestų paketų skaičių.



Parametrai[keisti]

-A <- Rodyti kiekviena paketą ASCII (Naudinga stebint WEB puslapius)
-D <- Parodo visus galimus monitorinimo interfeisus
-i <- Interfeiso pasirinkimas pvz (-i eth0)
-n <- Nerodyti reversų
-N <- Palikti pilnus FQN (fully qualified name)
-s <- Kiek bitų paimti iš paketo (Default 68) jei bus nustatyta 0 parodys visus
-v <- Verbose mode (-vv -vvv daugiau informacijos)
-c <- Monitorina tik nustatytą skaičių paketų paskui monitorinimas nutraukiamas pvz (-c 40)

Tips & Tricks[keisti]

tcpdump -i eth0 -nN -vvv -xX -s 1500 port 80 <- 80 Porto stebejimas
tcpdump -i eth0 -nN -vvv -xX -s 1500 port not 22 <- Monitorint visą trafiką išskyrus ssh portą
tcpdump -i eth0 -nN -vvv -xX -s 1500 port not 22 and port not 123 <- Monitorint visą trafiką išskyrus (22,123) portus
tcpdump -i eth0 -nN -vvv -xX  port not 22 and host 81.169.158.205 <- Išskyrus 22 portą ir tiktai 81.169.158.205 hostą
tcpdump -i eth0 -nN  -s 1500 -c 20 <- Sustoti po 20 paketų
tcpdump 'tcp[13] & 2 == 2' <- Rodyti tiktai SYN paketus visuose interfeisuose (DoS tyrimas)
tcpdump -lenx -i eth0 -s 1500 port bootps or port bootpc| dhcpdump <- Dhcp trafiko stebėjimas
tcpdump -nN port 80 <- Visi kreipimaisi į local web serverį
tcpdump -n udp dst port 19302 -vv <- Srauto stebejimas udp prievadu į stun portą bet kokiame nutolusiame serveryje.
tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn) !=0" # Stebeti naujus connectionus, TCP-SYN ir SYN-ACK paketus
tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0" # Stebeti naujus connectionus TCP-SYN paketus.
tcpdump -i eth0 -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0" # Stebeti naujus ieinancius connectionus, TCP-SYN paketai


Gauta iš „https://wiki.eofnet.lt/w//index.php?title=Tcpdump&oldid=9313