October 20, 2021
tcpdump
- -A - выводить все пакеты в формате ASCII;
- -c - закрыть программу после перехвата n-ого количества пакетов;
- -C - при записи пакетов в файл, проверять размер файла, и если он больше заданного - создать новый файл;
- -D - вывести список доступных сетевых интерфейсов;
- -e - выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса;
- -f - выводить доменное имя для ip адресов;
- -F - читать пакеты из файла, а не интерфейса;
- -G - создавать новый файл лога через указанный промежуток времени;
- -H - обнаруживать заголовки 802.11s;
- -i - имя интерфейса для перехвата пакетов. Вы можете захватывать пакеты со всех интерфейсов, для этого укажите any;
- -I - переключить интерфейс в режим монитора для захвата всех проходящих пакетов;
- -j - установить формат Timestamp для записи пакетов;
- -J - посмотреть доступные Timestamp;
- -K - не проверять контрольные суммы пакетов;
- -l - добавить поддержку прокрутки к выводу;
- -L - вывести поддерживаемые протоколы подключения для интерфейса;
- -n - не отображать доменные имена;
- -r - прочитать пакеты из файла, созданного с помощью -w;
- -v, -vv, -vvv - более подробный вывод;
- -q - выводить минимум информации;
- -w - записать вывод в файл;
- -Z - пользователь, от имени которого будут создаваться файлы.
После опций вы можете указывать фильтры для пакетов. Вот основные параметры, по которым можно отсеивать пакеты:
- host - имя хоста;
- ip - ip адрес;
- proto - протокол;
- net - адрес сети или подсети;
- port - адрес порта;
- src - параметр, касающийся отправителя;
- dst - параметр, касающейся получателя;
- Доступны такие протоколы: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp и udp.
Трафик на портах 80 и 443 интерфейса ens5 записать в файл
tcpdump -A -i ens5 port 80 or port 443 -w file.pcap
Отсеем только пакеты, адресованные нашему компьютеру:
tcpdump -A -i ens5 port 80 or port 443 ip dst 192.168.1.2 -w file.pcap