Tcpdump
Jump to navigation
Jump to search
Tcpdump yra tinklu keliaujančių paketų analizavimo pagalbininkas (Snifferis) jis išveda visą turinį iš tinklo interfeiso in/out paketų pagal tam tikras taisykles. Taip pat galima -w funkcija kuri leidžia išsaugoti paketų duomenis į failą tolimensiam tyrimui, -r funkcija skirta įkrauti tokius failus.
Tcpdump veikia visą laiką, jei paleistas be -c parametro ir monitorina tol kol nenutraukiamas su SIGINT signalu (Ctrl+c) arba SIGTERM signalu (Kill komanda). Jei bus paleistas su -c parametrus baiks darbą tiktai po SIGINT signalo arba kai baigs monitorinti nustatytą skaičių paketų (pvz -c 40).
Kai tcpdump baigia darbą, raportuoja apie:
- Išanalizuotų paketų skaičių.
- Gautų paketų skaičių.
- Kernelio atmestų paketų skaičių.
Parametrai
-A <- Rodyti kiekviena paketą ASCII (Naudinga stebint WEB puslapius) -D <- Parodo visus galimus monitorinimo interfeisus -i <- Interfeiso pasirinkimas pvz (-i eth0) -n <- Nerodyti reversų -N <- Palikti pilnus FQN (fully qualified name) -s <- Kiek bitų paimti iš paketo (Default 68) jei bus nustatyta 0 parodys visus -v <- Verbose mode (-vv -vvv daugiau informacijos) -c <- Monitorina tik nustatytą skaičių paketų paskui monitorinimas nutraukiamas pvz (-c 40)
Tips & Tricks
tcpdump -i eth0 -nN -vvv -xX -s 1500 port 80 <- 80 Porto stebejimas tcpdump -i eth0 -nN -vvv -xX -s 1500 port not 22 <- Monitorint visą trafiką išskyrus ssh portą tcpdump -i eth0 -nN -vvv -xX -s 1500 port not 22 and port not 123 <- Monitorint visą trafiką išskyrus (22,123) portus tcpdump -i eth0 -nN -vvv -xX port not 22 and host 81.169.158.205 <- Išskyrus 22 portą ir tiktai 81.169.158.205 hostą tcpdump -i eth0 -nN -s 1500 -c 20 <- Sustoti po 20 paketų tcpdump 'tcp[13] & 2 == 2' <- Rodyti tiktai SYN paketus visuose interfeisuose (DoS tyrimas) tcpdump -lenx -i eth0 -s 1500 port bootps or port bootpc| dhcpdump <- Dhcp trafiko stebėjimas tcpdump -nN port 80 <- Visi kreipimaisi į local web serverį tcpdump -n udp dst port 19302 -vv <- Srauto stebejimas udp prievadu į stun portą bet kokiame nutolusiame serveryje.