TCPDump は、ネットワークで送信されたデータ パケットを完全に傍受し、分析を提供できます。ネットワーク層、プロトコル、ホスト、ネットワーク、またはポートのフィルタリングをサポートし、and、or、not などの論理ステートメントを提供して、役に立たない情報を削除するのに役立ちます。
Linux をネットワーク サーバー、特にルーターやゲートウェイとして使用する場合、データの収集と分析は不可欠です。TcpDump は、Linux の強力なネットワーク データ収集および分析ツールの 1 つです。
tcpdump を簡単に定義すると、ネットワーク上のトラフィックをダンプする、ユーザーの定義に従ってネットワーク上のデータ パケットを傍受するパケット分析ツールです。
強力な機能と柔軟な傍受戦略を備えた tcpdump は、インターネット上のシステム管理者にとって古典的な必須ツールであり、高度なシステム管理者がネットワークを分析して問題をトラブルシューティングするために必要なツールの 1 つになりました。
Tcpdump はソース コードを提供し、インターフェイスを公開しているため、スケーラビリティが高く、ネットワークの保守や侵入者にとって非常に便利なツールです。tcpdump は基本的な FreeBSD システムに存在し、ネットワーク インターフェイスを無差別モードに設定する必要があるため、通常は実行できませんが、 root 権限を持つユーザーは直接実行してネットワーク上の情報を取得できます。したがって、システム内のネットワーク分析ツールの存在は、ローカル マシンのセキュリティに対する脅威ではなく、ネットワーク上の他のコンピュータのセキュリティに対する脅威です。
基本的に、tcpdump の全体的な出力形式は次のとおりです:システム時刻 ソース ホスト.ポート > ターゲット ホスト.ポート パケット パラメータ
常用的命令选项有:
-c:设定抓取的数量
-i:指定监听的网口
-w:将抓取的数据包保存到文件
-s:截取报文的内容,默认截取96字节,-s0表示截取全部
-r:读取数据包内容
-C 10:每10M保存一个包
-G 600:每10分钟保存一个包
过滤的参数规则:
host:指定主机名
net:指定网段
port:指定端口
portrange:指定端口范围
连接运算符
and:所有的条件都满足
or:只要满足一个条件
not:取反,也可以用!
例:
1. ホスト 172.0.0.1 の eth0 ネットワーク ポートのポート 8080 および 8081 によって送信されたデータ パケットを取得し、ファイルを保存します。
tcpdump -i eth0 -s0 ポート 8080 またはポート 8081 ホスト 172.0.0.1 -w 1.pcap
2. crtl+c を押してパケットのキャプチャを停止すると、現在のディレクトリに 1.pcap ファイルが生成されます
3. データパケットの内容を表示するだけ
tcpdump -r 1..pcap
注: 通常、キャプチャされたデータ パケットは Wireshark ツールで分析されます。
添付ファイル: Wireshark ダウンロード リンク