opciones de uso de tcpdump

Opciones de uso de tcpdump Opciones de
captura de paquetes:

-c: especifique el número de paquetes que se capturarán. Tenga en cuenta que eventualmente se obtendrán tantos paquetes. Por ejemplo, si especifica "-c 10" obtendrá 10 paquetes, pero es posible que se hayan procesado 100 paquetes, pero solo 10 paquetes son elegibles.
-i interfaz: especifique la interfaz que tcpdump necesita monitorear. Si no se especifica esta opción, se buscará en la lista de interfaces del sistema la interfaz configurada con el número más pequeño (sin incluir la interfaz de bucle invertido, use tcpdump
-i lo para capturar la interfaz de bucle invertido )
: Una vez que se encuentre la primera interfaz calificada, la búsqueda terminará inmediatamente. Puede utilizar la palabra clave 'any' para indicar todas las interfaces de red.
-n: muestra la dirección numéricamente, de lo contrario será el nombre del host, lo que significa que la opción -n no realiza la resolución del nombre del host.
-nn: además de la función de -n, el puerto también se muestra como un número; de lo contrario, se muestra el nombre del servicio del puerto.
-N: No imprima la parte del nombre de dominio del host. Por ejemplo, tcpdump imprimirá'nic 'en lugar de'nic.ddn.mil'.
-P: especifique si el paquete que se capturará es un paquete entrante o saliente. Los valores dados son "in", "out" e "inout", y el valor predeterminado es "inout".
-s len: establece la longitud de captura del paquete de datos tcpdump en len, si no se establece, el valor predeterminado será 65535 bytes. Cuando el paquete de datos que se va a capturar es grande, la configuración de la longitud no es suficiente y se puede producir el truncamiento del paquete. Si se produce el truncamiento del paquete,
el símbolo "[| proto]" aparecerá en la línea de salida (proto en realidad se mostrará como el nombre del protocolo). Pero cuanto más largo sea el tiempo de captura, más largo será el tiempo de procesamiento del paquete, y se reducirá la cantidad de paquetes de datos que tcpdump puede almacenar en caché. Esto
conducirá a la pérdida de paquetes de datos, por lo que bajo la premisa de que podemos capturar los paquetes que queramos. , podemos capturar Cuanto menor sea la longitud, mejor. Opciones de salida:
-e: Cada línea de la salida incluirá información de encabezado de la capa de enlace de datos, como MAC de origen y MAC de destino.
-MI:
-q: Impresión rápida. Es decir, se imprime poca información relacionada con el protocolo, por lo que las líneas de salida son relativamente cortas.
-X: Los datos del encabezado del paquete de salida se emitirán en los modos hexadecimal y ASCII al mismo tiempo.
-XX: Los datos del encabezado del paquete de salida se emitirán en los modos hexadecimal y ASCII al mismo tiempo, de forma más detallada.
-v: Produce una salida detallada al analizar e imprimir.
-vv: produce una salida más detallada que -v.
-vvv: produce una salida más detallada que -vv. Otras opciones funcionales:
-D: enumera las interfaces que se pueden usar para capturar paquetes. Se enumerarán el número numérico y el nombre de la interfaz de la interfaz, los cuales se pueden usar después de "-i".
-F: Lee la expresión del paquete capturado del archivo. Si se usa esta opción, todas las demás expresiones dadas en la línea de comando no serán válidas.
-w: envía los datos capturados a un archivo en lugar de la salida estándar. También puede cooperar con la opción "-G tiempo" para que el archivo de salida cambie automáticamente a otro archivo cada segundo. Estos archivos se pueden cargar con la opción "-r" para su análisis e impresión.
-r: lee datos del archivo de paquete dado. Utilice "-" para leer desde la entrada estándar.
-S: imprime números de secuencia absolutos
-t: marca de tiempo fácil de ver
-tttt: marca de tiempo más fácil de ver
-l: salida basada en líneas, fácil de guardar y ver, o dársela a otras herramientas para su análisis

operación lógica tcp

Operación de negación: ¡no o!

Operación Y: y o &&

O operación: o o ||

Seleccione el host como 192.168.99.129 o 120 y el puerto 80 paquetes
tcpdump'port 80 y (host 192.168.99.129 o host 192.168.99.120) '

Tres tipos de tcp de uso común

Escriba las palabras clave
host, net, port defina el alcance del paquete de datos capturado

#Captura de todos los paquetes de comunicación del host 99.128
tcpdump host 192.168.99.128 #Captura de paquetes en una
determinada red
tcpdump net 192.168.99.0/24
#Captura de paquetes del
host 99.128 comunicándose con 99.129 o 99.130 tcpdump -nn host 192.168.99.128 y '(192.168.99.128. 99.129 o 192.168.99.130) ' #Obtener el host 192.168.99.128 y
todos los paquetes de comunicación excepto 192.168.99.130
tcpdump -nn host 192.168.99.128 y! 192.168.99.130
#Obtener 99.128 en el host y recibir y recibir en el puerto 80 Todos los paquetes de datos enviados
tcpdump host 192.168.99.128 y puerto 80
#Todos los paquetes de datos que entran o salen de dev-99-128
tcpdump host 192.168.99.128 #Imprimir paquetes de datos
comunicados entre helios <--> hot o helios <--> ace
tcpdump host helios y (hot o ace) #Imprima
los paquetes de datos IP comunicados entre ace y cualquier otro host, pero no los paquetes de datos entre helios y
tcpdump ip host ace y no helios

Palabras clave de dirección

src, dst, dst o src, dst y src Estos describen la dirección de transmisión del paquete de tráfico
# Obtenga el paquete de datos cuya IP de origen es 192.168.99.120 y la IP de destino es 192.168.99.128
tcpdump -nn src 192.168.99.120 y dst 192.168.99.120. 99.128
# Interceptar todos los datos enviados por el
host nombre de host tcpdump src host hostname # Monitorear
todos los paquetes de datos enviados al host nombre de host
tcpdump dst host hostname

Las palabras clave de protocolo
incluyen principalmente ip, arp, rarp, tcp, udp, icmp, etc.

#Monitorear los paquetes de datos del host y puerto especificados tcpdump tcp puerto 22 y el nombre de host del host #Monitorear
el puerto udp 123 de la máquina (123 es el puerto de servicio de ntp)
tcpdump udp puerto 123
#Monitorear los paquetes de datos de la red especificada, como la máquina y los paquetes de datos de comunicación del segmento de red 192.168, "-c 10" significa que solo se capturan 10 paquetes
tcpdump -c 10 net 192.168
#Imprime todos los paquetes ftp que pasan por la puerta de enlace snup (tenga en cuenta que la expresión está encerrada en un comillas, que pueden evitar que el shell Analice los corchetes incorrectamente)
tcpdump'gateway snup y (port ftp o ftp-data) '# Los puertos de servicio comunes se pueden ver en / etc / service
#Grab the ping package
tcpdump -c 5 -nn - i eth0
icmp # Si claramente desea capturar el ping desde el host 192.168.100.70 a esta máquina, use el operador y
tcpdump -c 5 -nn -i eth0 icmp y src 192.168.100.62 # Tenga en cuenta que no puede escribir icmp src 192.168 .100.70 directamente, debido al protocolo icmp La aplicación directa de host de este tipo no es compatible
#
Coja el paquete de 22 puertos local tcpdump -c 10 -nn -i eth0 tcp dst port 22

Casos comunes

Encuentre tráfico basado en IP
tcpdump host 1.1.1.1

Mostrar solo el tráfico ipv6
tcpdump ip6

Compruebe el tráfico de un segmento de puerto
tcpdump portrange 21-23

Consulta basada en el tamaño del paquete
Si está viendo paquetes de un tamaño específico, puede utilizar este parámetro. Utilice menos, mayor o los símbolos matemáticos correspondientes
tcpdump menos 32
tcpdump mayor 64
tcpdump <= 128

Salida de datos sin procesar
Utilice parámetros combinados para ver la salida detallada. No resuelva el nombre de host o el número de puerto. Utilice números de serie absolutos para mostrar marcas de tiempo fáciles de leer:
tcpdump -ttnnvvS

Desde un determinado segmento de red a qué segmento de red ir a
tcpdump -nvX src net 192.168.0.0/16 y dst net 10.0.0.0/8 o 172.16.0.0/16

Tráfico no icmp que llega a una determinada IP
tcpdump dst 192.168.0.2 y src net y no
icmp # desde el host mars, enviado al puerto no ssh
tcpdump -vv src mars y no al puerto dst 22 # desde el
host 2.4 y el el puerto de acceso es 3389 o 22 flujo
tcpdump 'src 10.0.2.4 y (puerto dst 3389 o 22)'

opciones de uso de tcpdump

Supongo que te gusta