1.目標
centos7.6にtcpdumpをインストールしてから、tcpdumpを使用してパケットをキャプチャします
2、centos7.6にtcpdumpをインストールします
yum install -y tcpdump
3、tcpdumpパケットキャプチャの例
1.マシンのens192ネットワークカードから、DNS名をIP形式に変換し、icmpパッケージを取得します
tcpdump -i ens192 -n icmp
-i ens192 ----->マシンを取得するためのネットワークカードの名前を指定します。ens192
-n-----> DNS名をIP形式に変換します。icmp ----->
icmpを取得するように指定します。プロトコルパッケージ
2.マシンのens192ネットワークカードから、IPを表示し、icmpプロトコルのpingパケットを取得し、192.168.0.126ホストからpingパケットを取得します。
tcpdump -i ens192 -n icmp and src 192.168.0.126
3.マシンのens192ネットワークカードから、ipを表示し、10パケットを取得します。プロトコルは、tcpであり、マシンのポート22を取得します。
tcpdump -i ens192 -n -c 10 tcp dst port 22
つまり、10個のパケットを取得して、sshでマシンに接続しているユーザーを確認します。
4.ローカルens192ネットワークカードから、ipを表示し、10パケットをキャプチャし、(ローカル)192.168.0.229と(ホスト0.139または0.194)の間のパケットをキャプチャします。
tcpdump -i ens192 -n -c 10 host 192.168.0.229 and \(192.168.0.139 or 192.168.0.194\)
5.マシンのens192ネットワークカードから、ipを表示し、10パケットを取得し、マシンと通信しているip0.126を使用してホストのすべてのデータパケットを取得します。
tcpdump -i ens192 -n -c 10 host 192.168.0.126
6.マシンのens192ネットワークカードから、ipを表示し、10パケットを取得し、マシンのポート22へのアクセスを取得し、0.126ホストからのパケットのみを取得します。
tcpdump -i ens192 -n -c 10 port 22 and host 192.168.0.126
7.ローカルのens192ネットワークカードから、ipを表示し、10個のパケットをキャプチャして、パケット情報をkahn.capファイルとして保存します。
tcpdump -i ens192 -n -c 100 -w /root/kahn.cap
8.ローカルens192ネットワークカードから、IPを表示し、10パケットを取得し、TCPプロトコル22ポートのデータパケットのみを取得します。
tcpdump -i ens192 -n -c 10 tcp port 22
9.マシンのens192ネットワークカードから、ipを表示し、10パケットを取得し、gettype要求を取得してマシンのHTTPにアクセスします。
tcpdump -i ens192 -n -c 10 -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
10.マシンのens192ネットワークカードから、ipを表示し、10パケットを取得し、HTTPPOSTタイプの要求を取得してマシンにアクセスします。
tcpdump -i ens192 -n -c 10 -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
11.ローカルens192ネットワークカードから、ipを表示し、10パケットをキャプチャし、udpプロトコルのポート3721のデータパケットのみをキャプチャします。
tcpdump -i ens192 -n -c 10 udp port 3721
12.ローカルens192ネットワークカードから、IPを表示し、3パケットをキャプチャし、tcpパケットのみをキャプチャします
tcpdump -i ens192 -n -c 3 tcp
13.ローカルのens192ネットワークカードから、IPを表示し、1000パケットを取得し、すべてのパケットを取得して、最後にファイルkahn.capとして保存します。
tcpdump -i ens192 -n -c 1000 > kahn.cap