Hablando del comando de captura de paquetes de Linux tcpdump
Prefacio
Tcpdump puede interceptar completamente la "cabeza" del paquete de datos transmitido en la red para proporcionar análisis. Admite el filtrado de capas de red, protocolos, hosts, redes o puertos y proporciona declaraciones lógicas como y, o, no para ayudar a eliminar información inútil. El formato de salida total de TcpDump es: hora del sistema, host de origen + puerto, host de destino + puerto, parámetros del paquete de datos.
¿Cómo evitar el seguimiento y análisis de Tcpdump? Generalmente, el hardware de la red y la pila TCP / IP no admiten la recepción o el envío de paquetes de datos que no tienen nada que ver con la computadora. Para recibirlos en general, el hardware de la red y la pila TCP / IP no admiten la recepción o el envío de paquetes de datos. que no están relacionados con la computadora Para recibir estos paquetes, debe usar el modo promiscuo de la tarjeta de red y omitir la pila TCP / IP estándar. En FreeBSD, esto requiere que el kernel admita bpfilter pseudodispositivo. Por lo tanto, eliminar el soporte de bpfilter en el kernel puede proteger las herramientas de análisis de red como tcpdump.
tcpdump [ -AbdDefhHIJKlLnNOpqRStuUvxX ] [ -B buffer_size ] [ -c count ]
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
[ -i interface ] [ -j tstamp_type ] [ -m module ] [ -M secret ]
[ -P in|out|inout ]
[ -r file ] [ -V file ] [ -s snaplen ] [ -T type ] [ -w file ]
[ -W filecount ]
[ -E spi@ipaddr algo:secret,... ]
[ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
[ expression ]
Instrucciones básicas de Tcpdump:
tcpdump
En circunstancias normales, el inicio directo de tcpdump supervisará todos los paquetes de datos que fluyen en la primera interfaz de red.
2. Operación
ifconfig
Ver tarjeta de red nativa
La tarjeta de red de la figura anterior puede ser eth0 / lo
tcpdump -i eth1
Si no especifica una tarjeta de red, tcpdump solo monitoreará la primera interfaz de red por defecto, que generalmente es eth0.Los siguientes ejemplos no especifican una interfaz de red.
tcpdump host 210.27.48.1
Interceptar todos los paquetes de datos recibidos y enviados por todos los hosts 210.27.48.1
tcpdump host 210.27.48.1 y \ (210.27.48.2 o 210.27.48.3 \)
Interceptar la comunicación entre el host 210.27.48.1 y el host 210.27.48.2 o 210.27.48.3
tcpdump ip host 210.27.48.1 y! 210.27.48.2
Si desea obtener los paquetes ip de todos los hosts que se comunican con el host 210.27.48.1 excepto el host 210.27.48.2
Interceptar todos los datos enviados por el host
tcpdump -i eth0 src host nombre de host
Monitorear todos los paquetes enviados al nombre de host del host
tcpdump -i eth0 dst host nombre de host
tcpdump puerto tcp puerto y host host ip
tcpdump -c recibe el número especificado
tcpdump host / net / port src / dst / src o dst / dst y src
Host / dirección de red / puerto. Si no se especifica, es host
Especifique la dirección de origen / especifique la dirección de red
tcpdump -i eth1 src puerto 443
Ejemplo simple
172.24.18.25 ping 172.24.18.8
Captura 172.24.18.8 en 172.24.18.8
IP iZ88BFRKH96Z es el nombre de host de 18.8, lo que muestra que la captura de paquetes se realizó correctamente