[それを言うために、それを明確に！] tcpdumpコマンドラインのネットワークパケットキャプチャツール

内容：
（）tcpdumpコマンド
（2）tcpdumpのフィルタ

---

（A）tcpdumpコマンド
（1.1）tcpdumpのは、パケットをインターセプトするための出力パケットの内容とツールネットワークです。強力かつ柔軟な戦略を傍受して、そのネットワーク分析やUnixライクなシステムの問題の調査のための最適なツール作ります。tcpdumpのネットワーク層、プロトコル、ホスト、ネットワークまたはポートフィルタリングのためのサポート、および提供するために、AND、OR、NOTあなたが役に立たない情報を取り除く助けになフレーズ。
（1.2）tcpdumpのデフォルトの指示がされる、各パケットの最初の68のバイトをフェッチTCP / IPヘッダー情報は完了し、完全なパケット解析である場合レイヤークロールは通常、コンテンツのニーズが行われます十分には、一般的に68は、送信元アドレス、宛先アドレスとポートが含まれているバイト。
（1.3）まず、私たちはパケットの漁獲量の大きさを指定するには、「-s」を使用し、NICの名前を指定するために「-i」パラメータを使用することができ、パラメータ「-w」の使用は、指定したファイルにデータパケットを保存することを示しています。我々はvms001ホストカードがeno16777728で指定し、0のパケットサイズがa.capファイルに格納された捕捉されたデータパケットを示す-w情報を使用し、すべてのパケットをキャッチ示し指定します。
＃tcpdumpを-i eno16777728 -s 0 -w a.cap --- vms001指定されたホストNICがeno16777728は、その後、パケット全体を把握するためのデータパケットのサイズが0で指定され、それは-wキャプチャされたパケットを使用すると述べましたa.cap情報がファイルに保存されている


私たちは福袋の内容を表示したい場合、あなたはそれを見るために、データパケットの「-r」パラメータを使用することができます（1.4）。
＃tcpdumpを-r a.cap ---読み取りデータパケットの内容を表し

、我々はASCIIコードの形式で必要な場合、データパケットを表示します（1.5）を、我々は「-A」が表示されますパラメータでデータパケットを使用することができます。
＃tcpdumpを-A -r a.cap --- ASCII形式で表示

私たちは16進形式でパケットの内容を表示したい場合（1.6）、その後、我々はパラメータ経由で見ることができる「-X」です。
16進形式でパケットの＃tcpdumpを-X -r a.cap ---表示内容

---

（B）tcpdumpのフィルタ
（2.1）のtcpdumpキャプチャフィルタはまた、我々はパッケージまたは一部のポートのいくつかのタイプをキャッチしたい場合は、ネットワークカードまたはポート番号を指定することができ、フィルタ情報に使用することができます。
＃Ncと-nv 192.168.26.102 22 ---ホストvms001に接続vms002ホストポートに22回の試行
＃tcpdumpの-i eno16777728 TCPポート80 ---カード80にeno16777728パケットポートのグリップホストvms001


（2.2）のtcpdump命令、達成可能な表示フィルタ機能である、我々は最初のA http.capファイルを作成し、「tcpdumpの-n -r」を使用は、「-n」は「、彼らはホスト名を解決していないと述べ、すべての情報を表示します- R 「我々は、すべてのIPアドレスとポート番号の情報を取得したファイルを読み込み、使用awkのディスプレイ最初の3つの情報ファイル、そして最終的に再利用へのsortコマンドは、この時間を表します。
＃tcpdumpを-i eno16777728 -w --- http.cap情報を収集し、カードeno16777728 http.capファイルに書き込ま
＃tcpdumpの-n -r http.cap ---ディスプレイ情報http.capファイルのすべてのレコード、 「-n」彼らは、ホスト名解決しなかったと述べた
＃tcpdumpの-n -r http.capを| awkは「 {$ 3印刷}」|並べ替え-u --- 「tcpdumpの-n -r」を使用してすべての情報および使用を表示します同じ意味と一致UNIQ -c | awkのディスプレイ最初の3つの情報ファイル、再ソート、ソート-uコマンド注意とソートに最後に使用されるコマンド


(2.3)如果我们想查询来源IP的主机名为192.168.26.101的所有的信息行，我们可以使用tcpdump -n src host来指定来源IP地址的信息，此时我们便得到了源IP是192.168.26.101的所有信息行（图1-10）。如果我们需要查询目标IP地址为192.168.26.102的所有信息行，则我们可以使用tcpdump -n dst host来指定目标IP地址的信息（图1-11）。
# tcpdump -n src host 192.168.26.101 -r http.cap---在vms002主机查询源地址为192.168.26.101主机的所有符合要求的行
# tcpdump -n dst host 192.168.26.102 -r http.cap---在vms002主机查询目标地址为192.168.26.102主机的所有符合要求的行


(2.4)我们也可以通过端口号来进行筛选，我们可以使用tcpdump -n tcp port来指定端口号，以此来查询对应的信息行。
# tcpdump -n tcp port 22 -r http.cap---指定抓取端口号为22的信息行

(2.5)如果希望以十六进制的形式将数据包的筛选信息显示出来，则可以使用-X参数。
# tcpdump -n -X port 22 -r http.cap---以十六进制的形式将数据包的筛选信息显示出来，“-n”表示不解析主机名

（2.6）tcpdumpの命令は、各列が1バイト8を表し、多くの高度なフィルタリング機能を実行することができる、各行が4の合計が、前記オフセット部5日の開始時に、32バイト表すオフセットデータを表しますURG、ACK、CWR、ECE、量、 PSH、RST、アイン、フィンは、 TCPのタグビットを表します。例えば、我々は、すべてのデータ1外PSHとACKビットフィルタを標識するために、我々は2ビットの値が小数24の結果として得られる追加されたいです。「送信元ポート」と「宛先ポート」の行は数字0-3 4バイト、バイト単位を表し始めres.cwrは、最初の14バイト単位で番号0-13を表し、TCP我々ので、 TCPを使用してアレイ[13]タグ情報ビットを表し、我々は、「TCP [13] = 24」を指定必要 、 及び全てのデータ線1に対するACKビットのPSHラベル情報をフィルタリングすることができます。私たちは、TCPパッケージのどこを達成することができ、この時点では、スクリーニング、粒子サイズが非常に任意の値を洗練されています。
＃tcpdumpを-A -N 'TCP [13 ] = 24' -r http.cap --- 濾別0-13 TCPパケット、すなわち、情報ライン24とASCIIコードのすべての最初の14のバイトフォームの表示

------この記事を締結、読んでくれてありがとう------