tcpdump
| tcpdump | |
| Вывод tcpdump на консоль
| |
| Тип | Сниффер |
| Разработчик | The Tcpdump team |
| ОС | GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, Microsoft Windows |
| Версия | 4.0.0 (27 октября 2008) |
| Лицензия | Лицензия BSD |
| Сайт | tcpdump.org |
tcpdump (от TCP и англ. dump — свалка, сбрасывать) — утилита UNIX, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.
Для выполнения программы требуется наличие прав суперпользователя и прямой доступ к устройству (так, например, запуск из Jail во FreeBSD невозможен).
Основные назначения tcpdump:
- Отладка сетевых приложений.
- Отладка сети и сетевой конфигурации в целом.
Описание: SYN S Флаг, который используется при запросе на соединение. ACK ack Используется при подтверждении пришедшего пакета. FIN F Флаг устанавливается при нормальном закрытии соединения. URGENT urg Этот флаг нужен при передаче экстренных данных, например при посылке <CTRL+C> в telnet-соединении (вы все еще используете telnet, а не OpenSSH? :). PUSH P Как правило, данный флаг устанавливается при передаче пользовательских данных. RESET R Немедленный разрыв соединения. заполнитель . (точка) В случае, если в пакете отсутствует какой-либо флаг используется данный заполнитель.
Ключи
-a
Преобразовывает сетевые и широковещательные адреса в доменные имена.
-e
Отображает данные канального уровня (mac-адрес, протокол, длина пакета). Вместо ip-адресов будут отображаться mac-адреса компьютеров.
-F файл
Использовать фильтр, находящийся в файле. Если вы используете этот параметр, фильтр из командной строки будет игнорироваться.
-i
Указывает на то, какой сетевой интерфейс будет использоваться для захвата пакетов. По-умолчанию - eth0, но если отсутствует локальная сеть, то можно воспользоваться интерфейсом обратной связи lo.
-l
Использовать стандартный потоковый вывод tcpdump (stdout), например для записи в файл:
shell# tcpdump -l | tee out.log //отобразит работу tcpdump и сохранит результат в файле out.log
-N
Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит 'net' вместо 'net.library.org'
-n
Отображает ip-адрес вместо имени хоста.
-nn
Отображает номер порта вместо используемого им протокола.
-p
Не переводит интерфейс в беспорядочный (promiscuous)режим.
-q
Выводит минимум информации. Обычно это имя протокола, откуда и куда шел пакет, порты и количество переданных данных.
-r
Этот параметр позволяет tcpdump прочесть трафик из файла, если он был предварительно сохранен параметром -w.
-S
(s - в верхнем регистре) Позволяет не обрабатывать абсолютные порядковые номера ( initial sequence number - ISN) в относительные.
-s число
(s - в нижнем регистре) Количество байтов пакета, которые будет обрабатывать tcpdump. При установке большого числа отображаемых байтов информация может не уместиться на экране и ее будет трудно изучать. В зависимости от того, какие цели вы преследуете, и следует выбирать значение этого параметра. По-умолчанию tcpdump сохраняет первые 68 байт, однако если вы хотите увидеть содержимое всего пакета, используйте значение в 1500 байт (максимально допустимый размер пакета в сети Ethernet).
-t
Не отображает метку времени в каждой строке.
-T тип
Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb.
-tt
Отображает неформатированную метку времени в каждой строке.
-tttt
Показывает время вместе с датой.
-v
Вывод подробной информации (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных сумм IP и ICMP-заголовков)
-vv
Вывод еще более полной информации, в основном касается NFS и SMB.
-vvv
Вывод максимально подробной информации.
-w
(w - в нижнем регистре) Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку.
-X
(x - в верхнем регистре) Выводит пакет в ASCII- и hex-формате. Полезно в случае анализа инцидента связанного со взломом, так как позволяет просмотреть какая текстовая информация передавалась во время соединения.
-x
(x - в нижнем регистре) Делает распечатку пакета в шестнадцатеричной системе, полезно для более детального анализа пакета. Количество отображаемых данных зависит от опции -s
-xx
(x - в нижнем регистре) Тоже, что и предыдущий параметр, но включает в себя заголовок канального уровня
-XX
(XX - в верхнем регистре) Тоже, что и предыдущий параметр, но включает заголовок канального уровня.
-с число
tcpdump завершит работу после получения указанного числа пакетов.
См. также
Ссылки
| ПО | Это незавершённая статья о программном обеспечении. Вы можете помочь проекту, исправив и дополнив её. |
de:Tcpdump en:Tcpdump es:Tcpdump fr:Tcpdump it:Tcpdump ja:Tcpdump ka:Tcpdump nl:Tcpdump pl:Tcpdump pt:Tcpdump uk:Tcpdump
Если вам нравится SbUP.com Сайт, вы можете поддержать его - BTC: bc1qppjcl3c2cyjazy6lepmrv3fh6ke9mxs7zpfky0 , TRC20 и ещё....
