1 はじめに
tcpdump を簡単に定義すると、ネットワーク上のトラフィックをダンプする、ユーザーの定義に従ってネットワーク上のデータ パケットを傍受するパケット分析ツールです。tcpdump は、ネットワーク上で送信されるデータ パケットの「ヘッダー」を完全に傍受し、分析を行うことができます。ネットワーク層、プロトコル、ホスト、ネットワーク、またはポートのフィルタリングをサポートし、不要な情報の削除に役立つ and や or、not などの論理ステートメントを提供します。
さらに単純なことは、ネットワーク カード上で送信されるデータ ストリームをキャプチャすることです。
さらに簡単なのは、パケットをキャプチャすることです。
2 tcpdump と Wireshark
Wireshark (旧称 ethereal) は、Windows 上で非常にシンプルで使いやすいパケット キャプチャ ツールです。しかし、Linux では便利なグラフィカル パケット キャプチャ ツールを見つけるのは困難です。
幸いなことに、tcpdump はまだあります。tcpdump + Wireshark の完璧な組み合わせを使用すると、Linux でパケットをキャプチャし、Windows でデータ パケットを分析することができます。
3 コマンドを使用する
tcpdump tcp -i eth1 -t -s 0 -c 100 および dst ポート ! 22 およびソース ネット 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp および tcp、udp、icmp、およびその他のオプションを最初のパラメータに配置して、データグラムのタイプをフィルタリングする必要があります
(2)-i eth1: インターフェイス eth1 を通過するパケットのみをキャプチャします
(3)-t: タイムスタンプを表示しない
(4)-s 0: データ パケットをキャプチャするときのデフォルトのキャプチャ長は 68 バイトです。-S 0 を追加すると、完全なデータ パケットをキャプチャできます。
(5)-c 100: 100 パケットのみをキャプチャします
(6)dst port ! 22: ターゲットポート 22 でデータパケットをキャプチャしません
(7)src net 192.168.1.0/24: データ パケットの送信元ネットワーク アドレスは 192.168.1.0/24 です。
(8)-w ./target.cap: イーサリアル (つまり Wireshark) で簡単に分析できるように、cap ファイルとして保存します。