- Tcpdump
-
tcpdump
tcpdump Вывод tcpdump на консольТип Сниффер Разработчик The Tcpdump team ОС GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, Microsoft Windows Версия 4.0.0 (27 октября 2008) Лицензия Лицензия BSD Сайт tcpdump.org tcpdump (от TCP и англ. dump — свалка, сбрасывать) — утилита UNIX (есть клон для Windows), позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.
Для выполнения программы требуется наличие прав суперпользователя и прямой доступ к устройству (так, например, запуск из Jail во FreeBSD невозможен).
Основные назначения tcpdump:
- Отладка сетевых приложений.
- Отладка сети и сетевой конфигурации в целом.
Описание:
SYN S Флаг, который используется при запросе на соединение.
ACK ack Используется при подтверждении пришедшего пакета.
FIN F Флаг устанавливается при нормальном закрытии соединения.
URGENT urg Этот флаг нужен при передаче экстренных данных, например при посылке <CTRL+C> в telnet-соединении.
PUSH P Как правило, данный флаг устанавливается при передаче пользовательских данных.
RESET R Немедленный разрыв соединения.
Заполнитель . (точка) В случае, если в пакете отсутствует какой-либо флаг используется данный заполнитель.
Ключи
-a — Преобразовывает сетевые и широковещательные адреса в доменные имена.
-e — Отображает данные канального уровня (mac-адрес, протокол, длина пакета). Вместо ip-адресов будут отображаться mac-адреса компьютеров.
-F файл — Использовать фильтр, находящийся в файле. Если вы используете этот параметр, фильтр из командной строки будет игнорироваться.
-i — Указывает на то, какой сетевой интерфейс будет использоваться для захвата пакетов. По-умолчанию — eth0, но если отсутствует локальная сеть, то можно воспользоваться интерфейсом обратной связи lo.
-l — Использовать стандартный потоковый вывод tcpdump (stdout), например для записи в файл:
shell# tcpdump -l | tee out.log //отобразит работу tcpdump и сохранит результат в файле out.log
-N — Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит 'net' вместо 'net.library.org'
-n — Отображает ip-адрес вместо имени хоста.
-nn — Отображает номер порта вместо используемого им протокола.
-p — Не переводит интерфейс в беспорядочный (promiscuous)режим.
-q — Выводит минимум информации. Обычно это имя протокола, откуда и куда шел пакет, порты и количество переданных данных.
-r — Этот параметр позволяет tcpdump прочесть трафик из файла, если он был предварительно сохранен параметром -w.
-S — Позволяет не обрабатывать абсолютные порядковые номера ( initial sequence number - ISN) в относительные.
-s число — Количество байтов пакета, которые будет обрабатывать tcpdump. При установке большого числа отображаемых байтов информация может не уместиться на экране и ее будет трудно изучать. В зависимости от того, какие цели вы преследуете, и следует выбирать значение этого параметра. По-умолчанию tcpdump сохраняет первые 68 байт, однако если вы хотите увидеть содержимое всего пакета, используйте значение в 1500 байт (максимально допустимый размер пакета в сети Ethernet).
-t — Не отображает метку времени в каждой строке.
-T тип — Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb.
-tt — Отображает неформатированную метку времени в каждой строке.
-tttt — Показывает время вместе с датой.
-v — Вывод подробной информации (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных сумм IP и ICMP-заголовков)
-vv — Вывод еще более полной информации, в основном касается NFS и SMB.
-vvv — Вывод максимально подробной информации.
-w — Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку.
-X — Выводит пакет в ASCII- и hex-формате. Полезно в случае анализа инцидента связанного со взломом, так как позволяет просмотреть какая текстовая информация передавалась во время соединения.
-x — Делает распечатку пакета в шестнадцатеричной системе, полезно для более детального анализа пакета. Количество отображаемых данных зависит от параметра -s
-xx — Тоже, что и предыдущий параметр, но включает в себя заголовок канального уровня
-XX — Тоже, что и предыдущий параметр, но включает заголовок канального уровня.
-с число — tcpdump завершит работу после получения указанного числа пакетов.
См. также
Ссылки
- http://www.tcpdump.org
- http://www.microolap.com/products/network/tcpdump/
- http://www.linuxshare.ru/docs/net/tcpdump.html
Wikimedia Foundation. 2010.