Инструмент Tcpdump

Инструмент Tcpdump представляет собой основное средство сетевого анализа, используемое специалистами в сфере информационной безопасности. То есть, все желающие разобраться в особенностях TCP / IP протоколов должны также освоить основы работы с этим инструментом. Безусловно, немало специалистов применяют в своей работе более высокоуровневые средства вроде Wireshark.

Доступные функции

Команда имеет такой синтаксис:

$ tcpdump опции -i интерфейс фильтры

-A — выводить все пакеты в формате ASCII;
-c — закрыть программу после перехвата n-ого количества пакетов;
-C — при записи пакетов в файл, проверять размер файла, и если он больше заданного — создать новый файл;
-D — вывести список доступных сетевых интерфейсов;
-e — выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса;
-f — выводить доменное имя для ip адресов;
-F — читать пакеты из файла, а не интерфейса;
-G — создавать новый файл лога через указанный промежуток времени;
-H — обнаруживать заголовки 802.11s;
-i — имя интерфейса для перехвата пакетов. Вы можете захватывать пакеты со всех интерфейсов, для этого укажите any;
-I — переключить интерфейс в режим монитора для захвата всех проходящих пакетов;
-j — установить формат Timestamp для записи пакетов;
-J — посмотреть доступные Timestamp;
-K — не проверять контрольные суммы пакетов;
-l — добавить поддержку прокрутки к выводу;
-L — вывести поддерживаемые протоколы подключения для интерфейса;
-n — не отображать доменные имена;
-r — прочитать пакеты из файла, созданного с помощью -w;
-v, -vv, -vvv — более подробный вывод;
-q — выводить минимум информации;
-w — записать вывод в файл;
-Z — пользователь, от имени которого будут создаваться файлы.

Просмотреть все пакеты можно взглянув на все имеющиеся интерфейсы.
# tcpdump -i any

Просмотреть данные по конкретному интерфейсу поможет следующая комбинация.
# tcpdump -i eth0

Для просмотра трафика по 192.168.0.100 (исходящего и входящего) введите такой набор команд.
# tcpdump host 192.168.0.100

# tcpdump src 192.168.0.100
tcpdump dst 192.168.0.100

# tcpdump port 8000

В том случае, если вы разыскиваете конкретный тип трафика, попробуйте опции tcp, udp, icmp.
# tcpdump icmp

Найти трафик поможет даже фильтр по диапазону портов.
# tcpdump portrange 8000-9000

В том случае, если вас интересуют все пакеты определенного размера, вы можете использовать следующие запросы.
# tcpdump less 32
tcpdump greater 64

Для сохранения данных нужно указать файл с именем capture_file + опцию -w.
# tcpdump port 8000 -w capture_file

Открывать для чтения PCAP можно за счет использования опции -r.
# tcpdump -r capture_file

ND  — Оператор and — также можно &&.

OR —  Оператор or — также можно||.

EXCEPT — Оператор not — также можно !.