Narzędzie Tcpdump (Śledzenie ruchu sieciowego)
| F.A.Q.Tcpdump to narzędzie wiersza poleceń używane do przechwytywania i analizy ruchu sieciowego w systemach komputerowych. Pozwala ono na monitorowanie pakietów sieciowych przechodzących przez określony interfejs sieciowy na urządzeniu.
Tcpdump może być używany do przechwytywania, zapisywania i analizy pakietów sieciowych w czasie rzeczywistym lub z wcześniej zapisanych plików. Umożliwia filtrowanie przechwyconych pakietów na podstawie różnych kryteriów, takich jak adresy źródłowe i docelowe, protokół, porty i wiele innych.
Narzędzie tcpdump jest powszechnie stosowane przez administratorów sieci, programistów, analityków bezpieczeństwa i innych profesjonalistów zajmujących się sieciami w celu diagnostyki, debugowania, analizy i monitorowania ruchu sieciowego.
Uruchomienie programu za pomocą polecenia tcpdump bez parametrów będzie działać na pierwszym aktywnym interfejsie oraz znajdzie i wyświetli informacje o pakietach wchodzących lub wychodzących z urządzenia sieciowego.
Poniższe czynności można wykonać na serwerach, które są możliwe do kupienia na stronie serverparts.pl oraz w kategorii serwery dla ISP
Jeżeli chcemy aby program nam śledził ruch na konkretnym interfejsie oraz wskazaniem strony serverparts.pl wpisujemy poniższą komendę
tcpdump -i eno1 -v | grep serverparts.pl
Przechwytywanie pakietów na interfejsie ppp0 na porcie 22
tcpdump -i ppp0 port 22
Przydatne polecenia:
sudo tcpdump 'udp' - przechwytywanie tylko pakietów UDP
sudo tcpdump 'tcp port 80' - przechwytywanie pakietów HTTP
tcpdump -i eno1 port 22 or port 554 - przechwytywanie pakietów na interfejsie eno1 tylko z portu 22 oraz z portu 554>
tcpdump -i eno1 -c 100 host 192.168.1.200 - przechwytywanie pakietów na interfejsie eno1 z liczbą pakietów 100 dla hosta 192.168.1.200
| Parametr | Opis |
|---|---|
| -i | Nasłuchiwanie na określonym interfejsie. |
| -n | Nie rozwiązuje nazw hostów. |
| -t | Wypisuje czytelny dla człowieka znacznik czasu w każdej linii zrzutu, |
| -X | Wyświetla zawartość pakietu zarówno w formacie szesnastkowym, jak i ascii. |
| -v, -vv, -vvv | włącza szczegółowe rejestrowanie/szczegóły (co między innymi da nam bieżącą sumę przechwyconych pakietów) |
| -c N | Pobiera tylko N pakietów, a następnie zatrzymuje się. |
| -s | Określa długość (rozmiar) przechwytywania w bajtach. Użyj -s0, aby uzyskać wszystko, chyba że celowo przechwytujesz mniej. |
| -S | Wyświetlanie bezwzględnych numerów sekwencji. |
Powiązane strony:
- Narzędzie pktmon (Śledzenie ruchu sieciowego)
- Narzędzie Tcpdump (Śledzenie ruchu sieciowego)
- Narzędzia Linux - Fio (testy przepustowości)