一般的に使用されるtcpdumpの使用方法
-AすべてのパケットをASCII形式で出力し、リンク層ヘッダーを最小化します。
-c指定された数のパケットを受信した後、tcpdumpは停止します。
-C生のパケットをファイルに書き込む前に、ファイルの現在のサイズがパラメータfile_sizeで指定されたサイズを超えているかどうかを確認してください。指定されたサイズを超えると、現在のファイルが閉じられ、新しいファイルが開かれます。パラメータfile_sizeの単位はメガバイトです(1,048,576バイトではなく1,000,000バイト)。
-dは、情報パケットのコードを、人々が理解できるアセンブリ形式に一致させます。
-dd一致する情報パケットのコードをC言語プログラムセグメントの形式で提供します。
-ddd一致したパケットのコードを10進形式で示します。
-Dtcpdumpによって傍受される可能性のあるシステム内のすべてのネットワークインターフェイスを出力します。
-eデータリンク層のヘッダー情報を出力行に出力します。
-E spi @ ipaddr algo:secretを使用して、アドレスとしてaddrを使用し、セキュリティパラメータインデックス値spiを含むIPsecESPパケットを復号化します。
-f外部インターネットアドレスをデジタル形式で印刷します。
-Fコマンドラインで指定された式を無視して、指定されたファイルから式を読み取ります。
-i監視するネットワークインターフェースを指定します。
-l標準出力をバッファライン形式にします。データをファイルにエクスポートできます。
-Lは、ネットワークインターフェイスの既知のデータリンクを一覧表示します。
-mファイルモジュールからSMIMIBモジュール定義をインポートします。このパラメーターは、複数のMIBモジュールをインポートするために複数回使用できます。
-M tcpメッセージにTCP-MD5オプションがある場合、TCP-MD5オプションの概要を検証するための共有検証コードとしてsecretを使用する必要があります(詳細については、RFC 2385を参照してください)。
-bこの層のip、arp、rarp、およびipxを含む、データリンク層のプロトコルを選択します。
-nネットワークアドレスを名前に変換しません。
-nnは、ホスト名とサーバー名ではなく、IPとポート番号で直接表示されます。
-Nホスト名のドメイン名部分を出力しません。たとえば、「nic.ddn.mil」は「nic」のみを出力します。
-t出力の各行にタイムスタンプを出力しません。(-Tt -ttt)
-Oパケットマッチングコード最適化プログラムを実行しないでください。
-Pは、ネットワークインターフェイスを無差別モードに設定しません。
-qクイック出力。より少ないプロトコル情報のみを出力します。
-r指定されたファイルからパッケージを読み取ります(これらのパッケージは通常、-wオプションによって生成されます)。
tcpdumpの使用方法
-S tcpのシリアル番号を、相対値ではなく絶対値として出力します。
-sデフォルトの68バイトではなく、各パケットから最初のスナップバイトを読み取ります。-s 0は無制限の長さを意味し、パケット全体を出力します。
-Tは、監視対象のパケットを指定されたタイプのメッセージとして直接解釈します。一般的なタイプは、rpcリモートプロシージャコール)およびsnmp(簡易ネットワーク管理プロトコル;)です。
-t各行にタイムスタンプを出力しません。
-tt各行にフォーマットされていないタイムスタンプを出力します。
-tttこの行と前の行の時間差を出力します。
-tttt各行の日付で処理されるデフォルト形式でタイムスタンプを出力します。
-uデコードされていないNFSハンドルを出力します。
-v少し詳細な情報を出力します。たとえば、ttlおよびサービスタイプ情報をipパッケージに含めることができます。
-vvはより詳細な情報を出力します。
-vvは詳細なメッセージ情報を出力します。
-wグループ化を分析して印刷するのではなく、ファイルに直接書き込みます。(出力.pcapファイルは、さらに分析するためにWindowsのwiresharkで開くことができます)
Wiresharkがtcpdumpパケットを分析できるようにするには、重要なポイントは-sパラメータであり、出力ファイルは-w用に保存する必要があります。
16進数およびASCIIモードで出力される-Xおよび-XXは、HTTP、memcached ascii、およびその他のプレーンテキスト送信プロトコルに適した読み取り可能モードでデータパケットを表示できます。コンテンツを確認できます。
より高度なtcpdumpの使用法