tcpdump

Материал из Seo Wiki - Поисковая Оптимизация и Программирование

Перейти к: навигация, поиск
tcpdump
Вывод tcpdump на консоль
Тип Сниффер
Разработчик The Tcpdump team
ОС GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, Microsoft Windows
Версия 4.0.0 (27 октября 2008)
Лицензия Лицензия BSD
Сайт tcpdump.org

tcpdump (от TCP и англ. dump — свалка, сбрасывать) — утилита UNIX, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.

Для выполнения программы требуется наличие прав суперпользователя и прямой доступ к устройству (так, например, запуск из Jail во FreeBSD невозможен).

Основные назначения tcpdump:

  • Отладка сетевых приложений.
  • Отладка сети и сетевой конфигурации в целом.

Описание: SYN S Флаг, который используется при запросе на соединение. ACK ack Используется при подтверждении пришедшего пакета. FIN F Флаг устанавливается при нормальном закрытии соединения. URGENT urg Этот флаг нужен при передаче экстренных данных, например при посылке <CTRL+C> в telnet-соединении (вы все еще используете telnet, а не OpenSSH? :). PUSH P Как правило, данный флаг устанавливается при передаче пользовательских данных. RESET R Немедленный разрыв соединения. заполнитель . (точка) В случае, если в пакете отсутствует какой-либо флаг используется данный заполнитель.

Ключи

-a

   Преобразовывает сетевые и широковещательные адреса в доменные имена.

-e

   Отображает данные канального уровня (mac-адрес, протокол, длина пакета). Вместо ip-адресов будут отображаться mac-адреса компьютеров. 
      

-F файл

   Использовать фильтр, находящийся в файле. Если вы используете этот параметр, фильтр из командной строки будет игнорироваться.
   

-i

   Указывает на то, какой сетевой интерфейс будет использоваться для захвата пакетов. По-умолчанию - eth0, но если отсутствует локальная сеть, то можно воспользоваться интерфейсом обратной связи lo.

-l

  Использовать стандартный потоковый вывод tcpdump (stdout), например для записи в файл:
      shell# tcpdump -l | tee out.log             //отобразит работу tcpdump и сохранит результат в файле out.log

-N

   Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит 'net' вместо 'net.library.org'

-n

   Отображает ip-адрес вместо имени хоста.

-nn

   Отображает номер порта вместо используемого им протокола.

-p

   Не переводит интерфейс в беспорядочный (promiscuous)режим. 

-q

   Выводит минимум информации. Обычно это имя протокола, откуда и куда шел пакет, порты и  количество переданных данных. 

-r

    Этот параметр позволяет tcpdump прочесть трафик из файла, если он был предварительно сохранен параметром -w.

-S

   (s - в верхнем регистре)
   Позволяет не обрабатывать абсолютные порядковые номера ( initial sequence number - ISN) в относительные. 

-s число

   (s - в нижнем регистре)
   Количество байтов пакета, которые будет обрабатывать tcpdump. При  установке большого числа отображаемых байтов информация может не уместиться на экране и ее будет трудно изучать. В зависимости от того, какие цели вы преследуете, и следует выбирать значение этого параметра. По-умолчанию tcpdump сохраняет первые 68 байт, однако если вы хотите увидеть содержимое всего пакета, используйте значение в 1500 байт (максимально допустимый размер пакета в сети Ethernet). 

-t

   Не отображает метку времени в каждой строке. 

-T тип

   Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb. 

-tt

   Отображает неформатированную метку времени в каждой строке.

-tttt

   Показывает время вместе с датой.

-v

   Вывод подробной информации (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных  сумм IP и ICMP-заголовков)

-vv

   Вывод еще более полной информации, в основном касается NFS и SMB.

-vvv

   Вывод максимально подробной информации.

-w

   (w - в нижнем регистре) 
   Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку.

-X

   (x - в верхнем регистре)
   Выводит пакет в ASCII- и hex-формате. Полезно в случае анализа  инцидента связанного со взломом, так как позволяет просмотреть какая текстовая информация передавалась во время соединения.

-x

   (x - в нижнем регистре) 
   Делает распечатку пакета в шестнадцатеричной системе, полезно для более детального анализа пакета. Количество отображаемых данных зависит от опции -s

-xx

   (x - в нижнем регистре)
   Тоже, что и предыдущий параметр, но включает в себя заголовок канального уровня

-XX

   (XX - в верхнем регистре)
   Тоже, что и предыдущий параметр, но включает заголовок канального уровня.

-с число

   tcpdump завершит работу после получения указанного числа пакетов.


См. также

Ссылки


de:Tcpdump

en:Tcpdump es:Tcpdump fr:Tcpdump it:Tcpdump ja:Tcpdump ka:Tcpdump nl:Tcpdump pl:Tcpdump pt:Tcpdump uk:Tcpdump

Источник — «http://www.sbup.com/wiki/Tcpdump»
Личные инструменты

Served in 0.212 secs.