TCPDUMP -Anfängerhandbuch

TCPDUMP -Anfängerhandbuch
TCPDUMP ist ein kostenloser und open-Source-Wireless Data-Network-Paket-Analysator, der auf der Befehlszeilenschnittstelle arbeitet. Es ist das am häufigsten verwendete CLI -Tool zur Analyse des Netzwerkverkehrs. Mit TCPDump können Benutzer Netzwerkverkehr über ein an den Computer angeschlossenes Netzwerk sehen, lesen oder erfassen, das übertragen wird. Es ist nützlich in der Systemverwaltung, der Überwachung des Netzwerkverkehrs (für Probleme oder auf andere Weise).

Ursprünglich wurde es 1988 von vier Arbeitern der Netzwerkforschungsgruppe im Lawrence Berkeley Laboratory in Kalifornien verfasst. Es wurde elf Jahre später von Micheal Richardson und Bill Fenner im Jahr 1999 organisiert, der die TCPDump -Site errichtete. TCPDump funktioniert auf allen Unix-ähnlichen Betriebssystemen. Die Windows -Version von TCPDump wird als Windump bezeichnet und verwendet WinPCap, die Windows -Alternative für LIBPCap.

Verwenden Sie den SNAP, um TCPDump zu installieren:

$ sudo snap install tcpdump

Verwenden Sie Ihren Paketmanager, um TCPDump zu installieren:

$ sudo apt-get install tcpdump (Debian/Ubuntu)
$ sudo dnf install tcpdump (CentOS/rhel 6 & 7)
$ sudo yum install tcpdump (fedora/centos/rhel 8)

Lassen Sie uns unterschiedliche Verwendungen und Ausgänge sehen, während wir TCPDump untersuchen!

UDP

TCPDump kann auch UDP -Pakete abwerfen. Wir werden ein NetCat (NC) -Tool verwenden, um ein UDP -Paket zu senden und es dann abzugeben.

$ echo -n "tcpdumper" | NC -W 1 -U localhost 1337

Im oben gegebenen Befehl senden wir ein UDP-Paket, das aus der Zeichenfolge besteht "TCPDumPer" zum UDP -Port 1337 über Lokalhost. TCPDump erfasst das Paket, das über den UDP -Port 1337 gesendet wird, und zeigt es an.

Wir werden dieses Paket nun mit TCPDump abwerfen.

$ sudo tcpdump -i lo udp port 1337 -vv -x

Dieser Befehl erfasst und zeigt die erfassten Daten aus den Paketen in ASCII sowie Hex -Form an.

TCPDump: Hören auf LO, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
04:39:39.072802 IP (TOS 0x0, TTL 64, ID 32650, Offset 0, Flags [df], Proto -UDP (17), Länge 37)
Lokalhost.54574> localhost.1337: [Bad UDP CKSUM 0xFE24 -> 0xeac6!] UDP, Länge 9
0x0000: 4500 0025 7F8A 4000 4011 BD3B 7F00 0001 E… %… @.@…;…
0x0010: 7F00 0001 D52E 0539 0011 FE24 7463 7064… 9… $ TCPD
0x0020: 756d 7065 72 Umper

Wie wir sehen können, wurde das Paket an Port 1337 gesendet, und die Länge betrug 9 als Saite tcpdumper ist 9 Bytes. Wir können auch sehen, dass das Paket im HEX -Format angezeigt wurde.

DHCP

TCPDump kann auch Untersuchungen zu DHCP -Paketen über dem Netzwerk durchführen. DHCP verwendet den UDP -Port Nr. 67 oder 68, sodass wir TCPDump nur für DHCP -Pakete definieren und begrenzen können. Angenommen, wir verwenden eine WLAN -Netzwerkschnittstelle.
Der hier verwendete Befehl ist:

$ sudo tcpdump -i wlan0 port 67 oder port 68 -e -n -vvv
TCPDump: Hören auf WLAN0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
03:52:04.004356 00: 11: 22: 33: 44: 55> 00: 11: 22: 33: 44: 66, Ethertype IPv4 (0x0800), Länge 342: (TOS 0x0, TTL 64, ID 39781, Offset 0, Flags [DF [df. ], Proto UDP (17), Länge 328)
192.168.10.21.68> 192.168.10.1.67: [UDP Sum OK] BootP/DHCP, Anforderung von 00: 11: 22: 33: 44: 55, Länge 300, xid 0xFeab2D67, Flags [keine] (0x0000)
Client-IP 192.168.10.16
Client-Ethernet-Address 00: 11: 22: 33: 44: 55
Hersteller-RFC1048-Erweiterungen
Magic Cookie 0x63825363
DHCP-Message (53), Länge 1: Freisetzung
Server-ID (54), Länge 4: 192.168.10.1
Hostname (12), Länge 6: "Papagei"
Ende (255), Länge 0
Pad (0), Länge 0, tritt 42 auf

DNS

DNS, auch als Domainname -System bekannt, bestätigt, dass Sie Ihnen das zur Verfügung stellen, indem Sie den Domänennamen mit der Domänenadresse entsprechen. Um die Kommunikation zwischen DNS -Ebene Ihres Geräts über das Internet zu überprüfen, können Sie TCPDump auf folgende Weise verwenden. DNS verwendet den UDP -Port 53 für die Kommunikation.

$ sudo tcpdump -i Wlan0 UDP Port 53
TCPDump: Hören auf WLAN0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
04:23:48.516616 IP (TOS 0x0, TTL 64, ID 31445, Offset 0, Flags [df], Proto -UDP (17), Länge 72)
192.168.10.16.45899> eins.eins.eins.eins.Domäne: [UDP Sum OK] 20852+ a? Mozilla.Cloudflare-DNS.com. (44)
04:23:48.551556 IP (TOS 0x0, TTL 60, ID 56385, Offset 0, Flags [df], Proto -UDP (17), Länge 104)
eins.eins.eins.eins.Domain> 192.168.10.16.45899: [UDP -Summe OK] 20852 F: a? Mozilla.Cloudflare-DNS.com. 2/0/0 Mozilla.Cloudflare-DNS.com. [24s] a 104.16.249.249, Mozilla.Cloudflare-DNS.com. [24s] a 104.16.248.249 (76)
04:23:48.648477 IP (TOS 0x0, TTL 64, ID 31446, Offset 0, Flags [df], Proto -UDP (17), Länge 66)
192.168.10.16.34043> eins.eins.eins.eins.Domäne: [UDP Sum OK] 40757+ PTR? 1.1.1.1.In-Addr.ARPA. (38)
04:23:48.688731 IP (TOS 0x0, TTL 60, ID 56387, Offset 0, Flags [df], Proto -UDP (17), Länge 95)
eins.eins.eins.eins.Domain> 192.168.10.16.34043: [UDP -Summe OK] 40757 F: PTR? 1.1.1.1.In-Addr.ARPA. 1/0/0 1.1.1.1.In-Addr.ARPA. [26m53s] PTR One.eins.eins.eins. (67)

ARP

Das Adressauflösungsprotokoll wird verwendet, um die Link-Layer-Adresse zu ermitteln, z. B. eine MAC-Adresse. Es ist einer bestimmten Internetschichtadresse zugeordnet, normalerweise eine IPv4 -Adresse.

Wir verwenden TCPDump, um die in den ARP -Paketen getragenen Daten zu erfassen und zu lesen. Der Befehl ist so einfach wie:

$ sudo tcpdump -i wlan0 arp -vvvvvvvvvv
TCPDump: Hören auf WLAN0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
03:44:12.023668 ARP, Ethernet (Len 6), IPv4 (Len 4), Anfrage WHO HAS 192.168.10.1 Tell 192.168.10.2, Länge 28
03:44:17.140259 ARP, Ethernet (Len 6), IPv4 (Len 4), Anfrage WHO HAS 192.168.10.21 Tell 192.168.10.1, Länge 28
03:44:17.140276 ARP, Ethernet (Len 6), IPv4 (Len 4), Antwort 192.168.10.21 IS-AT 00: 11: 22: 33: 44: 55 (OUI Unbekannt), Länge 28
03:44:42.026393 ARP, Ethernet (Len 6), IPv4 (Len 4), Anfrage WHO HAS 192.168.10.1 Tell 192.168.10.2, Länge 28

ICMP

ICMP, auch als Internet Control Message Protocol bekannt, ist ein unterstützendes Protokoll in der Internet -Protokollsuite. ICMP wird als Informationsprotokoll verwendet.

Um alle ICMP -Pakete auf einer Schnittstelle anzuzeigen, können wir diesen Befehl verwenden:

$ sudo tcpdump icmp -vvv
TCPDump: Hören auf WLAN0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
04:26:42.123902 IP (TOS 0x0, TTL 64, ID 14831, Offset 0, Flags [DF], Proto ICMP (1), Länge 84)
192.168.10.16> 192.168.10.1: ICMP -Echo -Anforderung, ID 47363, seq 1, Länge 64
04:26:42.128429 IP (TOS 0x0, TTL 64, ID 32915, Offset 0, Flags [keine], Proto ICMP (1), Länge 84)
192.168.10.1> 192.168.10.16: ICMP Echo Antwort, ID 47363, seq 1, Länge 64
04:26:43.125599 IP (TOS 0x0, TTL 64, ID 14888, Offset 0, Flags [DF], Proto ICMP (1), Länge 84)
192.168.10.16> 192.168.10.1: ICMP Echo Request, ID 47363, SEQ 2, Länge 64
04:26:43.128055 IP (TOS 0x0, TTL 64, ID 32916, Offset 0, Flags [keine], Proto ICMP (1), Länge 84)
192.168.10.1> 192.168.10.16: ICMP Echo Antwort, ID 47363, seq 2, Länge 64

NTP

NTP ist ein Netzwerkprotokoll, das speziell zur Synchronisierung der Zeit in einem Netzwerk von Maschinen entwickelt wurde. Um den Verkehr auf NTP zu erfassen:

$ sudo tcpdump dst port 123
04:31:05.547856 IP (TOS 0x0, TTL 64, ID 34474, Offset 0, Flags [df], Proto -UDP (17), Länge 76)
192.168.10.16.NTP> Zeit-B-WWV.NIST.Regierung.NTP: [UDP Sum OK] NTPV4, Client, Länge 48
LEAP -Indikator: Takt Unsynchronisiert (192), Stratum 0 (nicht spezifiziert), Umfrage 3 (8S), Präzision -6
Wurzelverzögerung: 1.000000, Wurzeldispersion: 1.000000, Referenz-ID: (nicht spec)
Referenzzeitstempel: 0.000000000
Originator -Zeitstempel: 0.000000000
Zeitstempel erhalten: 0.000000000
Zeitstempel senden: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Originator - Zeitstempel erhalten: 0.000000000
Urheber - TIMESTAMP: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
04:31:05.841696 IP (TOS 0x0, TTL 56, ID 234, Offset 0, Flags [keine], Proto -UDP (17), Länge 76)
Zeit-b-wwv.NIST.Regierung.NTP> 192.168.10.16.NTP: [UDP Sum OK] NTPV3, Server, Länge 48
LEAP -Indikator: (0), Stratum 1 (Primärreferenz), Umfrage 13 (8192), Präzision -29
Wurzelverzögerung: 0.000244, Wurzeldispersion: 0.000488, Referenz-ID: NIST
Referenzzeitstempel: 3825358208.000000000 (2021-03-21T23: 30: 08Z)
Originator Timestamp: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Zeitstempel erhalten: 3825358275.028660181 (2021-03-21T23: 31: 15z)
Zeitstempel senden: 3825358275.028661296 (2021-03-21T23: 31: 15z)
Originator - Zeitstempel erhalten: +9.480896026
Originator - TIMESTAMP: +9.480897141

SMTP

SMTP oder einfaches Mail -Transfer -Protokoll werden hauptsächlich für E -Mails verwendet. TCPDump kann dies verwenden, um nützliche E -Mail -Informationen zu extrahieren. Zum Beispiel zum Extrahieren von E -Mail -Empfängern/Absendern:

$ sudo tcpdump -n -l Port 25 | grep -i 'Mail von \ | rcpt zu'

IPv6

IPv6 ist die „nächste Generation“ von IP und bietet eine breite Palette von IP -Adressen. IPv6 hilft dabei, die langfristige Gesundheit des Internets zu erreichen.

Verwenden Sie zum Erfassen von IPv6-Verkehr das IP6-Filter, in dem die TCP- und UDP-Protokolle unter Verwendung von Proto 6 und Proto-17 angegeben sind.

$ sudo tcpdump -n -i jeder IP6 -vvv
TCPDump: Datenverbindungsart Linux_Sl2
tcpdump: Anhören von link-typern linux_sll2 (Linux-gekochtes V2), Snapshot Länge 262144 Bytes
04:34:31.847359 lo in IP6 (FlowLabel 0xC7CB6, HLIM 64, UDP (NEIGHALTE-HABER) Nutzladung: 40) :: 1.49395> :: 1.49395: [Bad UDP Cksum 0x003b -> 0x3587!] UDP, Länge 32
04:34:31.859.49395> :: 1.49395: [Bad UDP CKSUM 0x0033 -> 0xeaEF!] UDP, Länge 24
04:34:31.860361 lo in IP6 (FlowLabel 0xC7CB6, HLIM 64, UDP-Nutzladung von Next Header (17) Länge: 40) :: 1.49395> :: 1.49395: [schlechtes UDP CKSUM 0x003B -> 0x7267!] UDP, Länge 32
04:34:31.871100 lo in IP6 (FlowLabel 0xC7CB6, HLIM 64, UDP (NEH-Header) Nutzlast: 944) :: 1.49395> :: 1.49395: [Bad UDP CKSUM 0x03C3 -> 0xf890!] UDP, Länge 936
4 Pakete erfasst
12 Pakete beim Filter erhalten
0 Pakete, die vom Kernel fallen gelassen wurden

Das '-c 4' bietet eine Paketzahl nur von bis zu 4 Paketen. Wir können die Anzahl der Pakete zu N angeben und N -Pakete erfassen.

Http

Das Hypertext -Transferprotokoll wird zum Übertragen von Daten von einem Webserver auf einen Browser verwendet, um Webseiten anzuzeigen. HTTP verwendet TCP Form -Kommunikation. Insbesondere wird TCP -Port 80 verwendet.

So drucken Sie alle IPv4 -HTTP -Pakete nach und von Port 80:

TCPDump: Hören auf WLAN0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
03:36:00.602104 IP (TOS 0x0, TTL 64, ID 722, Offset 0, Flags [DF], Proto TCP (6), Länge 60)
192.168.10.21.33586> 192.168.10.1.HTTP: Flags [s], CKSUM 0xA22B (Richtig), SEQ 2736960993, Win 64240, Optionen [MSS 1460, Sackok, TS Val 389882294 ECR 0, NOP, WSCALE 10], Länge 0
03:36:00.604830 IP (TOS 0x0, TTL 64, ID 0, Offset 0, Flags [DF], Proto TCP (6), Länge 60)
192.168.10.1.http> 192.168.10.21.33586: Flaggen [s).], cksum 0x2dcc (korrekt), SEQ 4089727666, ACK 2736960994, Win 14480, Optionen [MSS 1460, Sackok, TS Val 30996070 ECR 389882294, NOP, WSCALE 3], Länge 0 Länge 0, Länge 0, Länge 0, Länge 0
03:36:00.604893 IP (TOS 0x0, TTL 64, ID 723, Offset 0, Flags [DF], Proto TCP (6), Länge 52)
192.168.10.21.33586> 192.168.10.1.HTTP: Flags [.], cksum 0x94e2 (richtig), seq 1, ack 1, win 63, option [nop, nop, ts Val 389882297 ECR 30996070], Länge 0
03:36:00.605054 IP (TOS 0x0, TTL 64, ID 724, Offset 0, Flags [DF], Proto TCP (6), Länge 481)

HTTP -Anfragen…

192.168.10.21.33586> 192.168.10.1.HTTP: Flags [P. P.], cksum 0x9e5d (korrekt), seq 1: 430, ack 1, win 63, Optionen [NOP, NOP, TS VAL 389882297 ECR 30996070], Länge 429: http, Länge: 429
Get / http / 1.1
Gastgeber: 192.168.10.1
Benutzer-Agent: Mozilla/5.0 (Windows NT 10.0; RV: 78.0) Gecko/20100101 Firefox/78.0
Akzeptieren: text/html, application/xhtml+xml, application/xml; q = 0.9, Bild/Webp,*/*; q = 0.8
Akzeptieren Sprache: en-us, en; q = 0.5
Akzeptanzkodierung: Gzip, Deflate
DNT: 1
Verbindung: Keep-Alive
Cookie: _testcookiesupport = 1; SID = C7CCFA31CFE06065717D24FB544A5CD588760F0CDC5AE2739E746F84C469B5FD
Upgrade-INSECURE-ERFORMEN: 1

Und Antworten werden auch erfasst

192.168.10.1.http> 192.168.10.21.33586: Flaggen [P. P.], cksum 0x84f8 (richtig), seq 1: 523, ack 430, Win 1944, Optionen [NOP, NOP, TS VAL 30996179 ECR 389882297], Länge 522: http, Länge: 522
Http/1.1 200 ok
Server: ZTE Web Server 1.0 ZTE Corp 2015.
Akzeptieren von Bytes
Verbindung: Schließen
X-Frame-Optionen: Sameorigin
Cache-Kontroll: No-Cache, No Store
Inhaltslänge: 138098
Set-Cookie: _testcookiesupport = 1; Path =/; Httponly
Inhaltstyp: Text/HTML; charset = utf-8
X-In-In-In-In-In-Intenz-Optionen: NOSNIFF
Content-Security-Policy: Frame-Ones 'Self' '' Unafe-Inline '' Unafe-Eval '; IMG-Src' Selbst 'Daten:;
X-XSS-Schutz: 1; Modus = Block
Set-Cookie: SID =; läuft = Thu, 01-Jan-1970 00:00:00 GMT; PATH =/; Httponly

TCP

Um TCP-Pakete zu erfassen, wird dieser Befehl alles Gute erledigen:

$ sudo tcpdump -i wlan0 tcp
TCPDump: Hören auf WLAN0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes
04:35:48.892037 IP (TOS 0x0, TTL 60, ID 23987, Offset 0, Flags [keine], Proto TCP (6), Länge 104)
TL-in-F189.1e100.Netz.https> 192.168.10.16.50272: Flaggen [P.], cksum 0xc924 (richtig), SEQ 1377740065: 1377740117, ACK 1546363399, Win 300, Optionen [NOP, NOP, TS VAL 13149401 ECR 3051434098], Länge 52
04:35:48.892080 IP (TOS 0x0, TTL 64, ID 20577, Offset 0, Flags [DF], Proto TCP (6), Länge 52)
192.168.10.16.50272> TL-in-F189.1e100.Netz.https: Flags [.], cksum 0xf898 (korrekt), seq 1, ack 52, win 63, option [nop, nop, ts val 3051461952 ecr 13149401], Länge 0
04:35:50.199754 IP (TOS 0x0, TTL 64, ID 20578, Offset 0, Flags [DF], Proto TCP (6), Länge 88)
192.168.10.16.50272> TL-in-F189.1e100.Netz.https: Flags [p.], cksum 0x2531 (richtig), seq 1:37, ack 52, Win 63, Optionen [NOP, NOP, TS VAL 3051463260 ECR 13149401], Länge 36
04:35:50.199809 IP (TOS 0x0, TTL 64, ID 7014, Offset 0, Flags [DF], Proto TCP (6), Länge 88)
192.168.10.16.50434> HKG12S18-in-F14.1e100.Netz.https: Flags [p.], cksum 0xb21e (korrekt), SEQ 328391782: 328391818, ACK 3599854191, Win 63, Optionen [NOP, NOP, TS VAL 3656137742 ECR 2564108387], Länge 36 3656137742
4 Pakete erfasst
4 Pakete beim Filter erhalten
0 Pakete, die vom Kernel fallen gelassen wurden

Normalerweise führt die TCP -Paketaufnahme zu viel Verkehr. Sie können Ihre Anforderungen ausführlich angeben, indem Sie der Erfassung Filter hinzufügen, z. B.:

Hafen
Gibt den zu überwachenden Port an

$ sudo tcpdump -i Wlan0 TCP Port 2222

Quell-IP
Pakete aus einer bestimmten Quelle anzeigen

$ sudo tcpdump -i wlan0 TCP SRC 192.168.10.2

Ziel-IP
Pakete an einem bestimmten Ziel anzeigen

$ sudo tcpdump -i wlan0 tcp dst 192.168.10.2

Speichern von Paketaufnahmen in Dateien

Um die Paketaufnahme für die spätere Analyse zu speichern, können wir die Option -W -Option von TCPDump verwenden, für die ein Dateiname -Parameter erforderlich ist. Diese Dateien werden in einem PCAP -Dateiformat (Packet Capture) gespeichert, mit dem Paketaufnahmen gespeichert oder gesendet werden können.

Zum Beispiel:

$ sudo tcpdump -w /gefangen.PCAP

Wir können Filter hinzufügen, wenn wir TCP-, UDP- oder ICMP -Pakete usw. erfassen möchten.

Lesen Sie die Paketaufnahme aus Dateien

Leider können Sie die gespeicherte Datei nicht über gemeinsame "Lesedatei" -Handbefehle wie Katze usw. lesen. Die Ausgabe ist alles andere als Kauderwelsch, und es ist schwer zu sagen, was in der Datei ist. '-r' wird verwendet, um die in der gespeicherten Pakete zu lesen .PCAP-Datei, früher von '-W' oder anderen Software gespeichert wird, um PCAPs zu speichern:

$ sudo tcpdump -r /Ausgänge.PCAP

Dadurch werden die von erfassten Paketen auf dem Terminalbildschirm gesammelten Daten in einem lesbaren Format gesammelt.

TCPDump -Cheatsblatt

TCPDump kann mit anderen Linux -Befehlen wie Grep, SED usw. verwendet werden., Um nützliche Informationen zu extrahieren. Hier sind einige nützliche Kombinationen und Schlüsselwörter, die mit TCPDump verwendet werden, um wertvolle Informationen zu erhalten.

HTTP -Benutzeragenten extrahieren:

$ sudo tcpdump -n | Grep "User-Agent:"

Die über HTTP angeforderten URLs können mit TCPDump wie folgt überwacht werden:

$ sudo tcpdump -v -n | EGREP -i "Post / | GET / | HOST:"

Du kannst auch Extrahieren Sie HTTP -Passwörter in Postanfragen

$ sudo tcpdump -nn -l | EGREP -i "post /| pwd = | Passwd = | Passwort = | Host:"

Server- oder clientseitige Cookies können mit:

$ sudo tcpdump -n | EGREP -i 'Set -Cookie | Host: | Cookie:'

Erfassen Sie DNS -Anfragen und Antworten mithilfe:

$ sudo tcpdump -i WLP58S0 -S0 Port 53

Drucken Sie alle klaren Textkennwörter:

$ sudo tcpdump port http oder port ftp oder Port SMTP oder Port IMAP oder Port POP3 oder Port Telnet -l -a | eGrep -i -b5 'pass = | pwd = | log = | login = | user = | Benutzer | Benutzername = | pw = | passw = | passwd = | Passwort = | Pass: | Benutzer: | Benutzername: | Passwort: | Login: | Pass '

Gemeinsame TCPDump -Filter

  • -A Zeigt Pakete im ASCII -Format an.
  • -C Anzahl der Pakete zum Erfassen.
  • -zählen Drucken Sie die Paket nur beim Lesen einer erfassten Datei.
  • -e Drucken Sie MAC-Adressen und Link-Level-Header.
  • -H oder -Help Drucke Version und Nutzungsinformationen.
  • -Ausführung Zeigen Sie nur die Versionsinformationen an.
  • -ich Geben Sie die Netzwerkschnittstelle an, die aufgenommen werden soll.
  • -K Verhindern. Fügt Geschwindigkeit hinzu.
  • -M Geben Sie das zu verwendende Modul an.
  • -N Konvertieren Sie keine Adressen (ich.e., Hostadressen, Portnummern usw.) zu Namen.
  • -Nummer Drucken Sie zu Beginn jeder Zeile eine optionale Paketnummer aus.
  • -P Verbot die Schnittstelle, in den promiskuitiven Modus zu gehen.
  • -Q Wählen Sie die Richtung, damit die Pakete erfasst werden sollen. Senden oder empfangen.
  • -Q Ruhige/schnelle Ausgabe. Druckt weniger Informationen. Ausgänge sind kürzer.
  • -R Wird verwendet, um Pakete von einem PCAP zu lesen .
  • -T Drucken Sie keinen Zeitstempel auf jeder Dump -Linie aus.
  • -v Druckt weitere Informationen zur Ausgabe aus.
  • -w Schreiben Sie die Rohpakete in Datei.
  • -X Druckt ASCII -Ausgabe.
  • -X Druckt ASCII mit Hex.
  • -Listen-Interfaces Zeigt alle verfügbaren Netzwerkschnittstellen an, an denen Pakete von TCPDump erfasst werden können.

Einstellung

TCPDump war ein sehr weit verbreitetes Tool, das für die Forschung und Anwendungen von Sicherheit/Netzwerk verwendet wird. Der einzige Nachteil TCPDump hat 'keine GUI', aber es ist zu gut, um aus den Top -Charts herauszuhalten. Wie Daniel Miessler schreibt: „Protokollanalysatoren wie Wireshark sind großartig, aber wenn Sie Packet-Fu wirklich beherrschen möchten, müssen Sie zuerst eins mit TCPDump werden.”