Linux システムで tcpdump を使用してパケットをキャプチャする方法

1. 共通パラメータ tcpdump -i eth0 -nn -s0 -v port 80

-i 監視するネットワーク カードを選択します -nn ホスト名とポート番号を解決しません。大量のデータをキャプチャします。名前解決により、解決が遅くなります -s0 キャプチャの長さは無制限です -v 出力ポートに表示される詳細情報の量を増やします 80 ポート フィルター。ポート 80 のトラフィックのみをキャプチャします (通常は HTTP)

2.

tcpdump -A -s0 ポート80

-A は ASCII データを出力します -X は 16 進データと ASCII データ 3 を出力します。

tcpdump -i eth0 udp

udpフィルタ、udpデータのみをキャプチャします。プロトコル17プロトコル17はudpと同等です。

proto 6はtcpと同等です

4.

tcpdump -i eth0 ホスト 10.10.1.1

ホスト フィルター、IP アドレス 5 に基づくフィルタリング。

tcpdump -i eth0 送信先 10.105.38.204

dst フィルター、宛先 IP に基づくフィルター、src フィルター、送信元 IP 6 に基づくフィルター。

tcpdump -i eth0 -s0 -w テスト.pcap

-w は、Wireshark7 で分析できるファイルに書き込みます。

tcpdump -i eth0 -s0 -l ポート 80 | grep 'サーバー:'

-lはgrepなどのパイプラインコマンドで使用されます。

8.

組み合わせフィルタリング and or &&

または または ||

またはではありません!

9.

HTTP UAを素早く抽出

tcpdump -nn -A -s1500 -l | grep "ユーザーエージェント:"

egrepを使用してUAとホストを一致させる

tcpdump -nn -A -s1500 -l | egrep -i 'ユーザーエージェント:|ホスト:'

10.

GETパケットを一致させる tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'

POST パケットに一致します。パケットに POST データが含まれていない可能性があります。tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

11.

HTTP リクエスト ヘッダーを一致させる tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

いくつかの POST データと一致 tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

いくつかのクッキー情報を一致させる tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

12.

DNSリクエストと応答をキャプチャする tcpdump -i eth0 -s0 port 53

13.

tcpdump を使用してキャプチャし、Wireshark で表示します。ssh を使用してサーバーにリモート接続し、tcpdump コマンドを実行して、ローカルの wireshark で分析します。ssh root@remotesystem 'tcpdump -s0 -c 1000 -nn -w - not port 22' | wireshark -k -i -

ssh [email protected] 'sudo tcpdump -s0 -c 1000 -nn -w - ポート22以外' | wireshark -k -i -

14.

シェルを使用して、最も高い IP 番号を取得します: tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

15. DHCP要求と応答をキャプチャする tcpdump -v -n ポート67または68