1. Introducción
Para definir tcpdump en palabras simples, es: volcar el tráfico en una red, una herramienta de análisis de paquetes que intercepta paquetes de datos en la red según la definición del usuario. tcpdump puede interceptar completamente los "encabezados" de los paquetes de datos transmitidos en la red y proporcionar análisis. Admite el filtrado por capa de red, protocolo, host, red o puerto y proporciona declaraciones lógicas como y o no para ayudarle a eliminar información inútil.
Algo aún más sencillo es: capturar el flujo de datos transmitido en la tarjeta de red.
Aún más simple: capturar paquetes.
2 tcpdump y wirehark
Wireshark (anteriormente ethereal) es una herramienta de captura de paquetes muy simple y fácil de usar en Windows. Pero es difícil encontrar una herramienta gráfica de captura de paquetes útil en Linux.
Afortunadamente todavía tenemos tcpdump. Podemos usar la combinación perfecta de tcpdump + wireshark para lograr esto: capturar paquetes en Linux y luego analizar los paquetes de datos en Windows.
3 Usar comandos
tcpdump tcp -i eth1 -t -s 0 -c 100 y puerto dst! 22 y src neto 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp y tcp, udp, icmp y otras opciones deben colocarse en el primer parámetro para filtrar el tipo de datagramas
(2) -i eth1: solo captura paquetes que pasan a través de la interfaz eth1
(3)-t: no mostrar marca de tiempo
(4) -s 0: la longitud de captura predeterminada al capturar paquetes de datos es 68 bytes. Después de agregar -S 0, puede capturar el paquete de datos completo
(5)-c 100: solo captura 100 paquetes
(6) puerto dst! 22: No capturar paquetes de datos con el puerto de destino 22
(7)src net 192.168.1.0/24: la dirección de red de origen del paquete de datos es 192.168.1.0/24
(8)-w ./target.cap: guárdelo como un archivo cap para facilitar el análisis con ethereal (es decir, wireshark)