Tcpdump: Skirtumas tarp puslapio versijų
Jump to navigation
Jump to search
| 33 eilutė: | 33 eilutė: | ||
tcpdump -nN port 80 <- Visi kreipimaisi į local web serverį | tcpdump -nN port 80 <- Visi kreipimaisi į local web serverį | ||
tcpdump -n udp dst port 19302 -vv <- Srauto stebejimas udp prievadu į [[stun]] portą bet kokiame nutolusiame serveryje. | tcpdump -n udp dst port 19302 -vv <- Srauto stebejimas udp prievadu į [[stun]] portą bet kokiame nutolusiame serveryje. | ||
| − | + | tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn) !=0" # Stebeti naujus connectionus, TCP-SYN ir SYN-ACK paketus | |
| + | tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0" # Stebeti naujus connectionus TCP-SYN paketus. | ||
| + | tcpdump -i eth0 -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0" # Stebeti naujus ieinancius connectionus, TCP-SYN paketai | ||
[[Category:FreeBSD]] | [[Category:FreeBSD]] | ||
[[Category:Linux]] | [[Category:Linux]] | ||
Dabartinė 10:45, 14 gegužės 2021 versija
Tcpdump yra tinklu keliaujančių paketų analizavimo pagalbininkas (Snifferis) jis išveda visą turinį iš tinklo interfeiso in/out paketų pagal tam tikras taisykles. Taip pat galima -w funkcija kuri leidžia išsaugoti paketų duomenis į failą tolimensiam tyrimui, -r funkcija skirta įkrauti tokius failus.
Tcpdump veikia visą laiką, jei paleistas be -c parametro ir monitorina tol kol nenutraukiamas su SIGINT signalu (Ctrl+c) arba SIGTERM signalu (Kill komanda). Jei bus paleistas su -c parametrus baiks darbą tiktai po SIGINT signalo arba kai baigs monitorinti nustatytą skaičių paketų (pvz -c 40).
Kai tcpdump baigia darbą, raportuoja apie:
- Išanalizuotų paketų skaičių.
- Gautų paketų skaičių.
- Kernelio atmestų paketų skaičių.
Parametrai[keisti]
-A <- Rodyti kiekviena paketą ASCII (Naudinga stebint WEB puslapius) -D <- Parodo visus galimus monitorinimo interfeisus -i <- Interfeiso pasirinkimas pvz (-i eth0) -n <- Nerodyti reversų -N <- Palikti pilnus FQN (fully qualified name) -s <- Kiek bitų paimti iš paketo (Default 68) jei bus nustatyta 0 parodys visus -v <- Verbose mode (-vv -vvv daugiau informacijos) -c <- Monitorina tik nustatytą skaičių paketų paskui monitorinimas nutraukiamas pvz (-c 40)
Tips & Tricks[keisti]
tcpdump -i eth0 -nN -vvv -xX -s 1500 port 80 <- 80 Porto stebejimas tcpdump -i eth0 -nN -vvv -xX -s 1500 port not 22 <- Monitorint visą trafiką išskyrus ssh portą tcpdump -i eth0 -nN -vvv -xX -s 1500 port not 22 and port not 123 <- Monitorint visą trafiką išskyrus (22,123) portus tcpdump -i eth0 -nN -vvv -xX port not 22 and host 81.169.158.205 <- Išskyrus 22 portą ir tiktai 81.169.158.205 hostą tcpdump -i eth0 -nN -s 1500 -c 20 <- Sustoti po 20 paketų tcpdump 'tcp[13] & 2 == 2' <- Rodyti tiktai SYN paketus visuose interfeisuose (DoS tyrimas) tcpdump -lenx -i eth0 -s 1500 port bootps or port bootpc| dhcpdump <- Dhcp trafiko stebėjimas tcpdump -nN port 80 <- Visi kreipimaisi į local web serverį tcpdump -n udp dst port 19302 -vv <- Srauto stebejimas udp prievadu į stun portą bet kokiame nutolusiame serveryje. tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn) !=0" # Stebeti naujus connectionus, TCP-SYN ir SYN-ACK paketus tcpdump -i eth0 "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0" # Stebeti naujus connectionus TCP-SYN paketus. tcpdump -i eth0 -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0" # Stebeti naujus ieinancius connectionus, TCP-SYN paketai