Acerca del comando tcpdump de Linux

Para definir tcpdump en términos simples, consiste en volcar tráfico en una red, una herramienta de análisis de paquetes que intercepta paquetes en la red según las definiciones del usuario. Tcpdump puede interceptar completamente los "encabezados" de los paquetes de datos transmitidos en la red para su análisis. Admite el filtrado de capas de red, protocolos, hosts, redes o puertos y proporciona declaraciones lógicas como y o no para ayudarle a deshacerse de información inútil.

Ejemplos prácticos de comandos

Iniciar de forma predeterminada

tcpdump

En circunstancias normales, iniciar tcpdump directamente monitoreará el flujo en la primera red. interfaz de todos los paquetes.

Supervisar paquetes en la interfaz de red especificada.

tcpdump -i eth1

Si no se especifica ninguna tarjeta de red, el tcpdump predeterminado solo monitoreará la primera interfaz de red, generalmente eth0. Ninguno de los siguientes ejemplos especifica una interfaz de red.

Supervisar paquetes desde el host especificado

Imprimir todos los paquetes que entran y salen al atardecer.

tcpdump host sunset

También puede especificar una IP, como interceptar todos los paquetes de datos enviados y recibidos por todos los hosts en 210.27.48.1.

tcpdump host 210.27.48.1

Imprime los paquetes de datos comunicados entre helios y hot o ace.

tcpdump host helios y \( hot or ace \)

Intercepta la comunicación entre el host 210.27.48.1 y el host 210.27.48.2 o 210.27.48.3.

tcpdump hosts 210.27.48.1 y \(210.27.48.2 o 210.27.48.3\)

Imprime los paquetes IP comunicados entre ace y cualquier otro host, pero sin utilizar helios de paquetes de datos .

tcpdump ip host ace en lugar de helios

Si desea que los paquetes IP del host 210.27.48.1 se comuniquen con todos los hosts excepto el host 210.27.48.2, use el siguiente comando:

tcpdump ip host 210.27.48.1 y! 210.27.48.2

Intercepta todos los datos enviados por el nombre de host del host.

tcpdump -i eth0 src host nombre de host

Monitorea todos los paquetes enviados al host nombre de host.

tcpdump -i eth0 dst host nombre de host

Monitorea los paquetes de datos del host y puerto especificados.

Si desea que el host 210.27.48.1 reciba o envíe paquetes telnet, utilice el siguiente comando.

tcpdump puerto tcp 23 y host 210.27.48.1

Escuche el puerto UDP local 123, 123 es el puerto de servicio de ntp.

tcpdump udp puerto 123

Monitorea paquetes de datos en la red especificada.

Imprime todos los paquetes de comunicación entre el host local y el host en la red Berkeley (nt: ucb-ether, que puede entenderse como la dirección de red de la red Berkeley. El significado original de esta expresión puede ser expresado como: imprimir todas las redes La dirección del paquete es ucb-ether).

tcpdump net ucb-ether

Imprime todos los paquetes ftp que pasan a través de la puerta de enlace snup (tenga en cuenta que la expresión está entre comillas simples para evitar que el shell malinterprete los paréntesis)

tcpdump 'gateway snup and (port ftp or ftp-data)'

Imprime todos los paquetes IP cuya dirección de origen o destino es el host local.

(Si la red local está conectada a otra red a través de una puerta de enlace, la otra red no puede contarse como la red local. (nt: Esta oración es bastante tortuosa y necesita ser complementada). Cuando se usa realmente la LAN, realmente es El nombre de la LAN debe cambiarse.

)

tcpdump ip y no net localnet