発現はtcpdumpのは、メッセージ式の条件が満たされた場合、そのメッセージがキャプチャされる、フィルタパケット条件としてそれを使用し、正規表現です。あなたが任意の条件を与えていない場合は、ネットワーク上のすべてのパケットを傍受されます。
一般式でのキーワードのいくつかの種類があります:
引用文
第一のタイプは、ネット202.0.0.0は、ネットワークアドレスをホストを示すホスト、ネット、ポート、例えばホスト210.27.48.2、210.27.48.2などにキーワード、指定された202.0.0.0、ポート23個の指定されたポートであります数は23です。あなたがタイプのタイプを指定しない場合、デフォルトはホストです。
第2のキーは、これらのキーワードは、送信の方向を示し、SRC、DST、DSTまたはSRC、DSTおよびSRCを含む送信の方向を決定することです。イラスト、SRC 210.27.48.2、送信元アドレス210.27.48.2を示すIPパケット、DSTネット202.0.0.0が宛先ネットワークアドレス202.0.0.0で指定されています。あなたがキーワードの方向を指定しない場合、デフォルトでは、SRCまたはDSTのキーワードです。
第三は、FDDI、IP、ARP、RARP、TCP、UDP、および他のタイプを含む主要な契約、です。FDDI特定のネットワークプロトコルがFDDI(データインタフェースネットワーク分散ファイバ)で指定され、実際には、「エーテル」の別名であり、およびFDDIエーテルを同様の送信元アドレスと宛先アドレスを持っているので、それはプロトコルパケットFDDIとして使用することができます処理および分析のためにエーテルパケット。パッケージを聞いて契約内容を示すいくつかの他のキーワード。あなたがどんな契約を指定しない場合は、tcpdumpがすべてのプロトコルのパケットを監視します。
これら3つのキーワードの種類、他の重要なキーワードに加えて、次のようにゲートウェイ、ブロードキャストは、より少ない、より大きい、3回の論理演算があり、操作は、操作が「と」である「」 'ではない[否定である,! 「&&」;または操作された「または」、「||」;これらのキーワードは、人々のニーズを満たすための条件の強力な組み合わせを形成するために組み合わせることができます。
第四に、出力提示
ここでは、tcpdumpコマンドのいくつかの典型的な出力を紹介します
(1)データリンク層のヘッダ情報を
コマンドを使用します。
--eホストICEを#tcpdump
ICEは、Linuxホストを持つコンピュータです。そのMACアドレスが0:90:27:58:AF:1A H219は、SolarisとSunワークステーションです。そのMACアドレスは8:0:20:79:5(b):46;次のようにコマンドの出力です。
引用文
21:50:12.847509 eth0の<8:0:20:79:5(b):46 0:90:27:58:AF:1aはIP 60:h219.33357> ICE。0(0)22535 ACK 8760(DF)を勝つ:telneさt 0
午前21時50分12秒は、eth0の、ID番号は847509であり、時間を示し、図8に示すように、ネットワークインターフェース装置から送信されたパケットを表し<パケットは、ネットワークインターフェースeth0から受信し、eth0のことを示している>:0:20:79:5B:46は、ホストH219ありますMACアドレス、それを示すために送信される送信元アドレスからのパケット0 :. 90 H219:27:58:AF:1AのICEは、ホストのMACアドレスであり、パケットの宛先アドレスがICEです。IPパケットは、ホストPCのホストH219 ICEにポート33357 TELNETから(23)ポートであることを示している60は、パケット、h219.33357> ICE。のtelnetの長さであり、パケットがIPパケットであることを示しています。応答パケットが222535にあるシーケンス番号を示すために22535をackを。勝利8760は、送信ウィンドウのサイズが8760であることを示しました。
tcpdumpの出力(2)ARPパケット情報
コマンドを使用します。
#tcpdump ARP
出力されました:
引用文
22:32:ルートがICEを伝える-有する42.802509はeth0> ARP(0:90:27:58:AF:1A)
22:32:42.802902 eth0の<ARP応答経路であるアット0:90:27:12:10:66(0:90:27:58:AF:1A)
スタンプは、ARPは、ARP要求パケットであることを示すにeth0>は、パケットがホストから送信されていることを示し、ID番号は802509で、午前22時32分42秒誰であるか、持っているルートはICEのアイスショーのホストが要求したホストルートのMACアドレスである告げます。0:90:27:58:AF:1aはICEは、ホストのMACアドレスです。
出力(3)TCPパケット
一般的な出力情報とtcpdumpのTCPパケットキャプチャ:
引用文
SRC> DST:ウィンドウ緊急オプションACKフラグデータSEQNO
"" のSrc> DSTがSはSYNフラグ、F(FIN)、P(PUSH)、R(RST)(標識されていない)であり、宛先アドレス、ソースアドレスから、フラグがフラグ情報TCPパケットであることを示し、データ-seqnoは、ACKが次の期待されるシーケンス番号、バッファウィンドウサイズを受信ウィンドウ、緊急メッセージかどうかを示す緊急ポインタで、データパケットのシーケンシャル番号です。オプションはオプションです。
出力(4)UDPパケット
UDPパケットにより、一般的な情報の出力に、tcpdumpを捕獲しています。
引用文
route.port1> ICE.port2:UDPレンス
UDPは非常に簡単で、一番上の行は、ICEのタイプのホストポートにポートPORT2のPORT1ホストルートパケットから送信された出力UDPパケットを示すUDPパケット長がレンスです。
例えば、第五
(1)すべてのホストが210.27.48.1によって受信され、送信されたすべてのパケットをキャプチャします:
#tcpdumpホスト210.27.48.1
(2)ホストとホスト通信を210.27.48.2 210.27.48.1 210.27.48.3またはコマンドを使用して、キャプチャしたい(注:括弧の前にバックスラッシュが必要です)。
#tcpdumpホスト210.27.48.1と\(210.27.48.2または210.27.48.3 \)
(3)あなたがホスト210.27.48.1 210.27.48.2さらによりIPとコンピュータを取得したい場合は、パケット通信、コマンドを使用します。
#tcpdump IPホスト210.27.48.1と!210.27.48.2
あなたがしたい場合(4)アクセスSSHパケットへ、またはホスト192.168.228.246から送信され、次のコマンドを使用してホスト名を変換しません。
#tcpdump -nn -n SRCホスト192.168.228.246、ポート22とTCP
(5)送信または受信パケットが192.168.228.246をSSH、また、MACアドレスとともに表示ホストを得ます。
#のsrcホスト192.168.228.246 -eのtcpdumpとポート22とTCP -n -nn
(6)ソースホストの宛先ネットワーク192.168.0.1の192.168.0.0ヘッダーのフィルタです。
tcpdumpののsrcホスト192.168.0.1とdstネット192.168.0.0/24
(7)ソースホストの物理アドレスXXXヘッダをフィルタ:
tcpdumpのエーテルSRC 00:50:04:BA:9Bとdst ......
(なぜホストまたはSRCネットの背後にあるエーテルない?もちろん物理的なネットワーク・アドレスを自分ではあり得ません)。
(8)送信元ホストと宛先ポートがTelnet 192.168.0.1ヘッダとtes.t.txtファイルに導入されないフィルタリングします。
tcpdumpのSRCホスト192.168.0.1とdst portは-l> test.txtのtelnet接続ではありません
そして、IP、ICMP、ARP、RARP、TCP、UDP、これらのオプションは、ICMPは、フィルタリングデータパケットのタイプに、最初のパラメータの他の位置に配置されるべきです。