###
  • Программы
  • Безопасность
  • Новости
  • Интересное
  • Советы 
  • Новости 
  • Обзоры 

    • Tcpdump udp пакеты. Утилита tcpdump, примеры опции фильтры. $ tcpdump опции -i интерфейс фильтры

    22.05.2023 Обзоры 

    Поэтому решил создать свою шпаргалку, чтобы было... Ибо без tcpdump не один админ - неадмин

    Введение

    Очень часто для поиска проблем в работе сети используются анализаторы сетевого трафика . tcpdump является одним из представителей данного класса программ, она позволяет прослушать (отобразить/сохранить) и проанализировать работу сети на уровне передаваемых сетевых пакетов, фреймов и др. единиц передачи сетевого трафика. В зависимости от конфигурации сети, tcpdump может прослушивать не только пакеты, предназначенные данному MAC-адресу, но и широковещательные пакеты. Прослушивание перехват сетевых пакетов основан на "беспорядочном" (promiscuous) режиме работы сетевого адаптера.

    В зависимости от используемого сетевого оборудования для соединения компьютеров в сети Ethernet существуют следующие возможности прослушивания трафика :

    • В сети на основе концентраторов весь трафик с концентратора хаба доступен любому сетевому хосту.
    • В сетях на основе коммутаторов (свичей) сетевому хосту доступен только ее трафик, а также весь широковещательный трафик данного сегмента.
    • Некоторые управляемые коммутаторы имеют функцию копирования трафика данного порта на порт мониторинга ("зеркалирование",мониторинг порта).
    • При использовании специальных средств (ответвителей), включаемых в разрыв сетевого подключения и передающих трафик подключения на отдельный порт возможно прослушивание соответствующего порта.
    • "Трюк" с концентратором - порт коммутатора, трафик которого необходимо прослушать, включают через концентратор, подключив к концентратору также узел-монитор (при этом в большинстве случаев уменьшается производительность сетевого подключения).

    Итак, утилита tcpdump входит в большинство дистрибутивов Unix и позволяет перехватывать и отображать/сохранять в файл сетевой трафик. Утилита использует библиотеку libpcap . Для Windows тоже существует порт . Для работы утилиты ее необходимо . Например, в Debian она устанавливается с помощью команды:

    Debian:~# apt-get install tcpdump

    Для работы утилиты необходимы (т.к. изменяются настройки сетевого интерфейса - переводится в "безпорядочный" режим). В общем случае формат команды tcpdump имеет следующий вид:

    Debian:~# tcpdump <опции> <фильтр>

    Опции утилиты tcpdump

    -i интерфейс

    Задает интерфейс, с которого необходимо анализировать трафик (без указания интерфейса - анализ "первого попавшегося").

    Отключает преобразование IP в доменные имена. Если указано -nn, то запрещается преобразование номеров портов в название протокола.

    Наиболее часто используемые фильтрующие параметры команды tcpdump:

    dst хост

    Проверяет, совпадает ли адрес получателя IP-пакета с указанным значением. Возможно задавать как IP, подсеть в формате 10.0.0.1/24, так и имя хоста.

    src хост

    Проверяет, совпадает ли адрес отправителя IP пакета с указанным значением. Возможно задавать как IP, подсеть в формате 10.0.0.1/24, так и имя хоста.

    host хост

    Проверяет, совпадает ли адрес отправителя или получателя с заданным значением. Возможно задавать как IP, подсеть в формате 10.0.0.1/24, так и имя хоста.

    net имя_сети

    Проверяется, находится ли адрес отправителя/получателя в заданной сети. Возможно указание сети в формате CIDR (например 10.0.0.1/22), либо указание имени сети, заданной в .

    ip | arp | rarp | tcp | udp | icmp [хост]

    Проверяет, принадлежит ли пакет одному из указанных протоколов и при указании адреса хоста проверяет, совпадает ли адрес отправителя\получателя с заданным. Возможно задавать как IP, подсеть в формате 10.0.0.1/24, так и имя хоста.

    dst port номер_порта

    Проверяется, принадлежит ли пакет протоколу TCP/UDP и равен ли порт назначения заданному. Можно указать номер порта, либо имя, заданное в файле /etc/services.

    src port номер_порта

    Проверяется, принадлежит ли пакет протоколу TCP/UDP и равен ли порт источника заданному. Можно указать номер порта, либо имя, заданное в файле /etc/services.

    port номер_порта

    Проверяется, принадлежит ли пакет протоколу TCP/UDP и равен ли порт назначения или источника заданному. Можно указать номер порта, либо имя, заданное в файле /etc/services.

    ip broadcast

    Проверяется, является ли IP пакет широковещательным.

    ether { src | dst | host } MAC_адрес

    Проверяется, принадлежит ли сетевой пакет источнику, назначению, источнику или назначению имеющему заданный MAC_адрес.

    ether broadcast

    Проверяется, является ли ARP-пакет широковещательным.

    Примеры использования команды tcpdump

    Анализ трафика на сетевом уровне (ARP, ICMP) с помощью tcpdump

    Предположим, у нас имеется 2 хоста. Хост 1 с интерфейсом eth0 и следующими параметрами:

    Host1:~# ip addr show dev eth0 5: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 0a:00:27:00:00:00 brd ff:ff:ff:ff:ff:ff inet 192.168.56.1/24 brd 192.168.56.255 scope global eth0 inet6 fe80::800:27ff:fe00:0/64 scope link valid_lft forever preferred_lft forever

    А так же хост2 с интерфейсом eth1

    Host2:~# ip addr show dev eth1 3: eth1: mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 08:00:27:fd:e5:aa brd ff:ff:ff:ff:ff:ff inet 192.168.56.33/24 scope global eth1 inet6 fe80::a00:27ff:fefd:e5aa/64 scope link valid_lft forever preferred_lft forever

    Предположим, что до текущего момента сетевого обмена данными между хостами не происходило и если на хосте 2 запустить команду ip neigh show, то будет видно что в ARP-таблице нет записей. Проведем маленький эксперимент. Запустим на одном из виртуальных интерфейсов host1 утилиту tcpdump:

    Host1:~# tcpdump -ne -i eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

    Host1:~# ping -c 1 192.168.56.33 PING 192.168.56.33 (192.168.56.33) 56(84) bytes of data. 64 bytes from 192.168.56.33: icmp_req=1 ttl=64 time=1.06 ms --- 192.168.56.33 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 1.067/1.067/1.067/0.000 ms

    После этого в ARP-таблице системы host1 появилась запись об IP-адресе машины host2:

    Host1:~# ip neigh show dev eth0 192.168.56.33 lladdr 01:00:27:77:e5:00 HOST2

    На виртуальной консоли tcpdump нам отобразил следующую информацию:

    Host1:~# tcpdump -ne -i eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 12:16:29.465780 0a:00:27:00:00:00 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.56.33 tell 192.168.56.1, length 28 12:16:29.466786 01:00:27:77:e5:00 > 0a:00:27:00:00:00, ethertype ARP (0x0806), length 42: Reply 192.168.56.33 is-at 01:00:27:77:e5:00, length 28 12:16:29.466815 0a:00:27:00:00:00 > 01:00:27:77:e5:00, ethertype IPv4 (0x0800), length 98: 192.168.56.1 > 192.168.56.33: ICMP echo request, id 5284, seq 1, length 64 12:16:29.467934 01:00:27:77:e5:00 > 0a:00:27:00:00:00, ethertype IPv4 (0x0800), length 98: 192.168.56.33 > 192.168.56.1: ICMP echo reply, id 5284, seq 1, length 64 ^C 4 packets captured 4 packets received by filter 0 packets dropped by kernel

    Каждая запись о сетевом пакете в таком формате содержит время перехвата пакета, MAC-адреса отправителя и получателя, тип протокола, длину пакета и сведения о содержимом пакета. Первая запись описывает широковещательный ARP-запрос с MAC-адреса интерфейса eth0 системы host1 ("У кого адрес 192.168.56.33, это говорит 192.168.56.1 "). Вторая запись - ответ с MAC-адреса машины host2 на MAC-адрес системы host1 ("192.168.56.33 имеет MAC-адрес 01:00:27:77:e5:00 "). Третья и четвертая записи (ICMP-запрос и ICMP-ответ ) являются результатом работы команды ping на системе host1. Далее работа tcpdump была прервана . Перед завершением работы tcpdump печатает статистику работы: количество перехваченных, полученных фильтром и отброшенных ядром пакетов

    Таким образом, система host1 для того, чтобы отправить стандартный эхо-запрос машине host2, предварительно по протоколу ARP получила MAC-адреса машины host2 и внесла его с привязкой к IP-адресу в свою ARP-таблицу.

    Анализ трафика на транспортном уровне (TCP, UDP) с помощью tcpdump

    Предположим на системе host2 установлен некий WEB-сервер. Попробуем на машине host1 открыть страницу с этого web-сервера с помощью консольного браузера lynx:

    Host1:~# lynx 192.168.56.33

    На другой консоли предварительно запустим tcpdump с фильтрующими параметрами:

    Host1:~# tcpdump -n -i eth0 host 192.168.56.33 and port 80 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 15:44:37.837393 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags [S], seq 1209026235, win 5840, options , length 0 15:44:37.838118 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags , seq 370041518, ack 1209026236, win 5792, options , length 0 15:44:37.838157 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags [.], ack 1, win 46, options , length 0 15:44:37.839254 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags , seq 1:222, ack 1, win 46, options , length 221 15:44:37.839921 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags [.], ack 222, win 1716, options , length 0 15:44:37.848118 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags , seq 1:446, ack 222, win 1716, options , length 445 15:44:37.848156 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags [.], ack 446, win 54, options , length 0 15:44:37.849738 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags , seq 446, ack 222, win 1716, options , length 0 15:44:37.850366 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags , seq 222, ack 447, win 54, options , length 0 15:44:37.851267 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags [.], ack 223, win 1716, options , length 0 …

    В данном примере клиент (192.168.56.1) c TCP-порта 41533 устанавливает соединение с сервером (192.168.56.33), слушающим на порту 80, делает запрос, получает необходимые данные и соединение завершается.

    Заголовок TCP-сегмента, помимо номеров портов получателя и отправителя содержит ряд параметров:

    • Номер последовательности (seq). Определяет порядок следования байт в отправляемом в сеть потоке (смещение первого байта в сегменте относительно начала потока данных).
    • Подтвержденный номер (ACK). Максимальный номер байта в полученном сегменте увеличенный на 1. Отправляемые отправителю подтверждения одновременно служат запросом новой порции данных.
    • Управляющие флаги (SYN - S, ACK, FIN -F , RST - R , PSH - P, URG)
    • Окно (win) - количество байтов данных, ожидаемых отправителем данного, начиная с байта номер которого указан в поле ack. Для оптимизации передачи отправитель не ждет подтверждения для каждого отправленного сегмента, а может отправить в сеть группу сегменту (но в байтах не больше размера окна). Если качество канала плохое (много запросов на повторную передачу, теряются подтверждения) окно уменьшается, если хорошее - окно увеличивается.
    • Опции . Используются для решения вспомогательных задач. Например, передается MSS (Maximum segment size) - максимальный размер сегмента.

    Процесс установления двунаправленного соединения по протоколу TCP отражают первые три записи tcpdump:

    • Клиент отправляет серверу TCP-сегмент с установленным флагом SYN, начальным "случайным" номером (1209026235), с которого будут нумероваться байты в отправляемом им потоке, максимальный размер окна - объем, который разрешено передавать серверу без подтверждения от клиента (5840): 15:44:37.837393 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags [S], seq 1209026235, win 5840, options , length
    • Сервер отправляет клиенту TCP-сегмент с установленными флагами SYN и ACK, начальным "случайным" номером (370041518), с которого будут нумероваться байты в отправляемом им потоке, и максимальный размер окна для клиента (5792). Данный сегмент также является подтверждением получения запроса на установление соединения от клиента: 15:44:37.838118 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags , seq 370041518, ack 1209026236, win 5792, options , length
    • Клиент отправляет серверу TCP-сегмент с установленным флагом ACK, который является подтверждением получения сегмента от сервера (далее tcpdump отображает относительные значения seq и ask): 15:44:37.838157 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags [.], ack 1, win 46, options , length

    После этого соединение считается установленным .

    В следующей паре записей клиент передает в секции данных сегмента серверу запрос протокола прикладного уровня (221 байт) и получает от сервера подтверждение его получения:

    15:44:37.839254 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags , seq 1:222, ack 1, win 46, options , length 221 15:44:37.839921 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags [.], ack 222, win 1716, options , length 0

    При этом флаг PSH (P) используется для оповещения отправляющей стороны о том, что принимающая готова принимать данные. Далее сервер отправляет данные клиенту (445 байт) и получает от него подтверждение получения:

    15:44:37.848118 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags , seq 1:446, ack 222, win 1716, options , length 445 15:44:37.848156 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags [.], ack 446, win 54, options , length 0

    Затем по инициативе сервера соединение завершается. Сервер шлет пакет с установленным флагом FIN:

    15:44:37.849738 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags , seq 446, ack 222, win 1716, options , length 0

    Клиент в ответ также отправляет пакет с установленным флагом FIN, данный пакет одновременно является подтверждением получения запроса на завершение соединения от сервера:

    15:44:37.850366 IP 192.168.56.1.41533 > 192.168.56.33.80: Flags , seq 222, ack 447, win 54, options , length 0

    Серверу остается лишь подтвердить получение FIN-сегмента от клиента:

    15:44:37.851267 IP 192.168.56.33.80 > 192.168.56.1.41533: Flags [.], ack 223, win 1716, options , length 0

    Реакция tcpdump на попытку подключения к закрытому порту 23/tcp:

    21:56:14.381091 IP 192.168.56.1.54040 > 192.168.56.33.23: Flags [S], seq 2956835311, win 5840, options , length 0 21:56:14.381688 IP 192.168.56.33.23 > 192.168.56.1.54040: Flags , seq 0, ack 2956835312, win 0, length 0

    В данном примере с системы 192.168.56.1 делается попытка подключится к несуществующему TCP-сервису на узле 192.168.56.33. Удаленная система реагирует отправкой сегмента с установленным флагом RST (сброса соединения).

    Реакция tcpdump на отправку UDP-датаграммы на закрытый порт 53/udp:

    21:55:16.925906 IP 192.168.56.1.41979 > 192.168.56.33.53: 6561+ A? www.tut.by. (28) 21:55:16.926615 IP 192.168.56.33 > 192.168.56.1: ICMP 192.168.56.33 udp port 53 unreachable, length 64

    В данном примере сделана попытка отправить UDP-датаграмму на несуществующий порт удаленной системы. Протокол UDP обычно реагирует отправкой ICMP-сообщения исходному узлу о недостижимости порта.

    Другие примеры использования команды tcpdump:

    # tcpdump -n -i ppp0 ether src 11:20:b3:d8:d8:2c

    Вывод сетевой статистики с интерфейса ppp0 (-i ppp0) без преобразования IP в DNS (-n) тех фреймов, у которых MAC-адресом источника равен 11:20:b3:d8:d8:2c.

    # tcpdump -n -e -i vlan0 ether broadcast

    Вывод широковещательного трафика с интерфейса vlan0.

    # tcpdump -n -i eth0 src 192.168.66.1

    Фильтруются сетевые пакеты, в заголовке которых в поле источник указан IP-адрес192.168.66.1.

    # tcpdump -n -i eth0 host 192.168.66.1

    Фильтруются пакеты, в которых данный IP-адрес указан как источник или как получатель пакета.

    # tcpdump -n -i eth0 src net 10.0.0.0 mask 255.0.0.0

    Фильтруются пакеты, в которых источником указаны узлы сети 10.0.0.0/8.

    # tcpdump -n -i eth0 icmp

    Вывод только ICMP-пакетов с интерфейса eth0.

    На этом, пожалуй, закончу текущую статью. По мере появления новых примеров буду дополнять статью. Надеюсь, что материал будет полезен не только мне

    В статье были использованы примеры и некоторые материалы лекций intuit .

    С Уважением, Mc.Sim!

    tcpdump инструкция на русском и примеры.

    -A задает вывод каждого пакета (без заголовков канального уровня) в формате ASCII. Этот режим удобен для сбора трафика HTTP.

    -c <число пакетов> задает завершение работы программы после захвата заданного числа пакетов.

    -C <размер файла> задает необходимость проверки размера файла захвата перед записью в него каждого нового пакета. Если размер файла превышает значение параметра file_size, этот файл закрывается
    и создается новый файл для записи в него пакетов. Для файлов захвата используется имя, заданное параметром -w и, начиная со второго файла к имени добавляется в качестве
    суффикса номер файла. Переменная file_size задает размер файла в миллионах байтов (не в мегабайтах = 1 048 576 байт).

    -d задает вывод дампа скомпилированного кода соответствия пакетов (packet-matching code) в понятном человеку формате и завершение работы программы.

    -dd выводит дамп кода соответствия в виде фрагмента C-программы.

    -ddd выводит дамп кода соответствия в виде строки десятичных значений, перед которой следует строка со значением счетчика.

    -D выводит список сетевых интерфейсов системы, с которых tcpdump может собирать пакеты. Для каждого сетевого интерфейса указывается имя и номер, за которыми может следовать
    текстовое описание интерфейса. Имя и номер интерфейса могут использоваться с флагом -i для задания сбора пакетов с одного интерфейса.

    Эта опция может быть весьма полезна для систем, не дающих информации об имеющихся сетевых интерфейсах3.

    Флаг -D не поддерживается, если программа tcpdump была скомпилирована со старой версией libpcap, которая не поддерживает функцию pcap_findalldevs().

    -e выводит заголовок канального уровня в каждой строке дампа.

    -E задает использование алгоритма и секрета spi@ipaddr для расшифровки пакетов IPsec ESP, направленных по адресу ipaddr и содержащих and в поле Security Parameter Index значение
    spi. Комбинация spi и адреса может быть повторена с использованием в качестве разделителя запятой или новой строки. Отметим, что установка секрета для пакетов IPv4 ESP в
    настоящее время поддерживается.

    В качестве алгоритмов могут использоваться des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc или none. По умолчанию применяется алгоритм des-cbc. Возможность дешифровки
    пакетов обеспечивается только в тех случаях, когда при компиляции tcpdump были включены опции поддержки криптографии.

    Параметр secret содержит ASCII-текст секретного ключа ESP. Если секрет начинается с символов 0x, будет считываться шестнадцатеричное значение. Опция предполагает использование
    ESP в соответствии с RFC 2406, а не RFC 1827. Эта опция поддерживается только для отладки и использовать ее с реальными секретными ключами не следует, поскольку введенный в
    командной строке ключ IPsec доступен другим пользователям системы4.

    Кроме явного указания параметров в командной строке их можно задать в файле опций, который tcpdump будет читать при получении первого пакета ESP.

    -f задает вывод чужих адресов IPv4 в числовом формате. Использование этой опции позволяет избавиться от проблем, возникающих на серверах Sun NIS при попытках трансляции
    нелокальных адресов. Проверка чужеродности адреса IPv4 осуществляется с использованием адреса и маски принявшего пакет интерфейса. Если адрес и маска интерфейса недоступны
    (например, при использовании unnumbered-интерфейсов или при захвате пакетов со всех адресов в Linux с использованием фиктивного интерфейса any), эта опция будет работать
    некорректно.

    -F <файл> задает использование фильтров, содержащихся в указанном файле. В этом случае заданные в командной строке фильтры игнорируются.

    -i <интерфейс> задает сбор пакетов с указанного интерфейса. Если интерфейс не задан, tcpdump ищет в системе список доступных интерфейсов и выбирает в нем активное устройство с минимальным
    номером (исключая loopback).

    В системах Linux, начиная с ядра 2.2 поддерживается фиктивный интерфейс с именем any, обеспечивающий сбор пакетов со всех активных интерфейсов системы. Отметим, что сбор
    пакетов с устройства any осуществляется в обычном (не promiscuous) режиме.

    Если в системе поддерживается флаг -D, можно в качестве аргумента задавать номер интерфейса, выводимый при использовании этого флага.

    -l задает буферизацию строк stdout. Эта опция полезна в тех случаях, когда вы хотите просматривать данные во время сбора пакетов. Например, команды

    tcpdump -l | tee dat

    tcpdump -l > dat & tail -f dat

    обеспечивают запись пакетов в файл dat и одновременный вывод на консоль.

    -L задает вывод списка известных типов канального уровня и завершение работы программы.

    -m <файл> загружает модуль определений SMI MIB из указанного файла. Эта опция может использоваться неоднократно для загрузки нескольких модулей MIB.

    -n отключает преобразование адресов и номеров портов в символьные имена.

    -N задает использование только имен хостов, а не полных доменных имен. Например, вместо lhotze.bilim-systems.net при использовании этой опции моя рабочая станция будет
    обозначаться как lhotze.

    -O отключает оптимизатор кода проверки соответствия пакетов условиям фильтрации. Используйте эту опцию, если вам покажется, что оптимизатор работает с ошибками.

    -p указывает программе, что интерфейс не нужно переводить в режим захвата5. Опцию -p нельзя использовать вместе с фильтром ether host {local-hw-addr} or ether broadcast.

    -q задает вывод минимального объема информации.

    -R при установке этого флага предполагается, что пакеты ESP/AH используют старый вариант спецификации6 и tcpdump не будет выводить поля replay prevention (защита от
    воспроизведения). Поскольку спецификация ESP/AH не включает поля с номером версии, tcpdump не может определить версию протокола ESP/AH по заголовкам пакетов.

    -r <файл> задает чтение данных из файла, созданного ранее с использованием команды tcpdump -w или с помощью другой программы, поддерживающей формат tcpdump (например, Ethereal). Если в
    качестве имени файла задан символ -, используется поток данных от стандартного устройства ввода (stdin).

    -S задает вывод абсолютных порядковых номеров TCP взамен относительных.

    -s задает захват из каждого пакета snaplen байтов вместо отбираемых по умолчанию 68 байтов7. Значение 68 подходит для протоколов IP, ICMP, TCP и UDP но может приводить к потере
    протокольной информации для некоторых пакетов DNS и NFS. Потеря части пакетов по причине малого размера кадра захвата (snapshot) указывается в выходных данных полями вида
    [|proto]’, где proto – имя протокольного уровня, на котором произошло отсечение части пакета8. Отметим, что увеличение кадра захвата приведет к дополнительным временным
    затратам на обработку пакетов и уменьшению числа буферизуемых пакетов, что может привести к потере части пакетов. Используйте минимальное значение snaplen, которое позволит
    обойтись без потери информации об интересующем вас протоколе. Установка snaplen = 0 приведет к захвату полных пакетов.

    -T <тип> задает интерпретацию пакетов, выбранных с помощью фильтра, как пакетов указанного параметром типа. В настоящее время поддерживаются типы aodv9, cnfp10, rpc11, rtp12, rtcp13,
    snmp14, tftp15, vat16 и wb17.

    -t отключает вывод временных меток в каждой строке дампа.

    -tt задает вывод в каждой строке дампа неформатированных временных меток.

    -ttt задает вывод временных интервалов (в микросекундах) между захватом предыдущего и данного пакетов в каждой строке дампа.

    -tttt задает вывод временных меток в принятом по умолчанию формате для каждой строки дампа.

    -u задает вывод манипуляторов (handle) NFS без декодирования.

    -U задает режим “буферизации на уровне пакетов” для файлов, сохраняемых с помощью опции -w. В этом режиме каждый пакет записывается в выходной файл как только он будет захвачен
    (не дожидаясь заполнения выходного буфера). Флаг -U не будет поддерживаться, если программа tcpdump была скомпилирована со старой опцией libpcap, не поддерживающей функцию
    pcap_dump_flush().

    -v задает вывод дополнительной информации при захвате файлов. К такой информации может относиться значение TTL (время жизни), идентификация, общий размер, опции IP и т. п. При
    использовании этого флага также выполняется дополнительная проверка целостности пакетов с помощью контрольных сумм (например, для протоколов IP и ICMP).

    -vv задает дополнительное увеличение объема выводимой информации (например, полное декодирование пакетов SMB, вывод дополнительных полей откликов NFS и т. п.).

    -vvv задает максимальный объем выводимой информации (например, полностью выводятся опции telnet SB … SE). При использовании вместе с ключом -X опции Telnet выводятся также в
    шестнадцатеричном представлении.

    -w <файл> задает запись необработанных (raw) пакетов. Собранные в файл пакеты можно впоследствии просматривать с использованием флага -r или передавать для анализа другим программам
    (например, Ethereal). Если в качестве имени файла указан символ -, запись осуществляется на стандартное устройство вывода (stdout).

    -x задает вывод шестнадцатеричного дампа (без заголовка канального уровня) для каждого захваченного пакета. Объем выводимой информации определяется меньшим из двух значений —
    размер пакета и значение параметра snaplen. Отметим, что при захвате полных кадров канального уровня дамп может включать также байты заполнения, если пакет сетевого уровня
    имеет малый размер.

    -xx задает вывод шестнадцатеричного дампа для каждого пакета с включением заголовков канального уровня.

    -X задает вывод дампа в шестнадцатеричном и ASCII-формате без заголовков канального уровня. Эта опция может быть очень удобна при анализе новых протоколов.

    -XX задает вывод дампа в шестнадцатеричном и ASCII-формате с включением заголовков канального уровня.

    -y <тип> задает тип канального уровня, используемого при захвате пакетов. Поддерживаемые значения можно посмотреть с помощью флага -L.

    Примеры.

    • Ловим весь исходящий трафик

    tcpdump -i re0 -n -nn -ttt dst host 192.168.1.2

    • Ловим весь исходящий трафик кроме нашей ssh сессии ибо очень большой поток данных получается.

    tcpdump -i re0 -n -nn -ttt ‘dst host 192.168.1.110 and not (src host 192.168.1.2 and dst port 22)’

    • Просмотр общения dns

    tcpdump -i re0 -n -nn -ttt ‘host 192.168.1.110 and port 53’

    • Просмотр icmp пакетов

    tcpdump -i re0 -n -nn -ttt ‘ip proto \icmp’

    • Трафик переходящий из сети 10.7.20 с назначением на сети 10.7.0. или 10.7.24.:

    tcpdump -nvX src net 10.7.20.0.0/16 and dst net 10.7.0.0/8 or 10.7.24.0/16

    • Трафик идущий с сети 10.7.0.0 на порты назначения 22 или 4589:

    tcpdump ’src 10.7.0.0 and (dst port 22 or 4589)’

    • Посмотреть трафик на интерфейсе:
    • посмотреть трафик одного хоста:

    tcpdump host 192.168.1.1

    • Посмотреть трафик на порте:

    tcpdump src port 80

    • Посмотреть IP трафик на хост:

    tcpdump ip host 192.168.1.2

    • Посмотреть ARP трафик на хост:

    tcpdump arp host 192.168.1.2

    • Смотрим RARP трафик на хост:

    tcpdump rarp host 192.168.1.2

    • Смотрим трафик, кроме хоста pav253

    tcpdump not host pav253

    • Смотрим трафик на pav253 и pav210

    tcpdump host pav253 or host pav210

    • Смотрим содержимое пакетов на интерфейсе re0 на хост сайт

    tcpdump -X -i re0 host сайт

    • icq трафик

    tcpdump -X -i re0 port aol

    • Смотрим содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста

    tcpdump -X -s 1500 -n -i re0 host сайт

    • Top активных взимодействий

    tcpdump -tn -c 10000 -i re0 tcp or udp | awk -F «.» ‘{print $1″.»$2″.»$3″.»$4}’ | \ sort | uniq -c | sort -nr | awk ‘$1 > 100’

    • Смотрим все TCP пакеты с флагом SYN (начало сессии).

    tcpdump -i eth0 -nn tcp == 2 and src net 192.168.1.0/24

    • Просмотр syn и fin пакетов из вне

    tcpdump ‘tcp & (tcp-syn|tcp-fin) != 0 and not src and dst net 192.168.1.0’

    • Просмотр все ipv4 http пакеты с порта 80, кроме syn / fin / ack данных

    tcpdump ‘tcp port 80 and (((ip — ((ip&0xf)<>2)) != 0)’

    • Просмотр только syn пакеты

    This tutorial will show you how to isolate traffic in various ways—from IP, to port, to protocol, to application-layer traffic—to make sure you find exactly what you need as quickly as possible.

    tcpdump is the tool everyone should learn as their base for packet analysis.

    Install tcpdump with apt install tcpdump (Ubuntu), or yum install tcpdump (Redhat/Centos)

    Let’s start with a basic command that will get us HTTPS traffic:

    tcpdump -nn S X port 443

    04:45:40.573686 IP 78.149.209.110.27782 > 172.30.0.144 .443 : Flags [.], ack 278239097, win 28, options , length 0 0x0000: 4500 0034 0014 0000 2e06 c005 4e8e d16e E..4........N..n 0x0010: ac1e 0090 6c86 01bb 8e0a b73e 1095 9779 ....l......>...y 0x0020: 8010 001c d202 0000 0101 080a 3803 7b55 ............8.{U 0x0030: 4801 8100

    You can get a single packet with -c 1 , or n number with -c n .

    This showed some HTTPS traffic, with a hex display visible on the right portion of the output (alas, it’s encrypted). Just remember—when in doubt, run the command above with the port you’re interested in, and you should be on your way.

    Examples

    PacketWizard™ isn’t really trademarked, but it should be.

    a practitioner preparing to run tcpdump

    Now that you are able to get basic traffic, let’s step through numerous examples that you are likely to need during your job in networking, security, or as any type of PacketWizard™.

    Everything on an interface

    Just see what’s going on, by looking at what’s hitting your interface.

    Or get all interfaces with -i any .

    tcpdump -i eth0

    Find Traffic by IP

    One of the most common queries, using host , you can see traffic that’s going to or from 1.1.1.1.

    Expression Types:

    host , net , and port .

    src and dst .

    host , net , and port .

    tcp , udp , icmp , and many more.

    tcpdump host 1.1.1.1

    06:20:25.593207 IP 172.30.0.144.39270 > one.one.one.one .domain : 12790+ A? google.com. (28) 06:20:25.594510 IP one.one.one.one .domain > 172.30.0.144.39270: 12790 1/0/0 A 172.217.15.78 (44)

    If you only want to see traffic in one direction or the other, you can use src and dst .

    tcpdump src 1.1.1.1
    tcpdump dst 1.0.0.1

    Finding Packets by Network

    To find packets going to or from a particular network or subnet, use the net option.

    You can combine this with the src and dst options as well.

    tcpdump net 1.2.3.0/24

    Get Packet Contents with Hex Output

    Hex output is useful when you want to see the content of the packets in question, and it’s often best used when you’re isolating a few candidates for closer scrutiny.

    tcpdump -c 1 -X icmp

    Summary

    Here are the takeaways.

    1. tcpdump is a valuable tool for anyone looking to get into networking or .
    2. The raw way it interfaces with traffic, combined with the precision it offers in inspecting packets make it the best possible tool for learning TCP/IP.
    3. Protocol Analyzers like Wireshark are great, but if you want to truly master packet-fu, you must become one with tcpdump first.

    Well, this primer should get you going strong, but the man page should always be handy for the most advanced and one-off usage scenarios. I truly hope this has been useful to you, and feel free to if you have any questions.

    Notes

    1. I’m currently (sort of) writing a book on tcpdump for No Starch Press.
    2. The leading image is from SecurityWizardry.com .
    3. Some of the isolation filters borrowed from

    Утилита tcpdump - это очень мощный и популярный инструмент для перехвата и анализа сетевых пакетов. Она позволяет просматривать все входящие и исходящие из определенного интерфейса пакеты и работает в командной строке. Конечно, вы могли бы пользоваться Wirshark для анализа сетевых пакетов, это графическая утилита, но иногда бывают ситуации когда нужно работать только в терминале.

    Tcpdump ничем не хуже Wireshark, и имеет все необходимые возможности для анализа пакетов, к тому же вы можете сохранить все перехваченные пакеты в файл, чтобы анализировать их потом с помощью того же самого Wireshark. В этой статье мы рассмотрим как пользоваться tcpdump для перехвата сетевых пакетов.

    Во многих дистрибутивах команда tcpdump поставляется по умолчанию, но если в вашем дистрибутиве ее нет, то вы можете очень просто ее установить из официальных репозиториев. Например, в Ubuntu/Debian:

    sudo apt install tcpdum p

    В Fedora/Red Hat/CentOS:

    sudo yum install tcpdump

    Когда установка завершится, вы можете переходить к работе.

    Команда tcpdump

    Перед тем как перейти к примерам работы с утилитой, давайте рассмотрим ее синтаксис и основные опции. Команда имеет такой синтаксис:

    $ tcpdump опции -i интерфейс фильтры

    При вызове обязательно нужно передать интерфейс, который будете отслеживать. Если интерфейс не указать, то будет использован первый в списке. Опции настраивают отображение и основные возможности утилиты, а фильтры позволяют отсеять ненужные пакеты. А теперь рассмотрим основные опции:

    • -A - выводить все пакеты в формате ASCII;
    • -c - закрыть программу после перехвата n-ого количества пакетов;
    • -C - при записи пакетов в файл, проверять размер файла, и если он больше заданного - создать новый файл;
    • -D - вывести список доступных сетевых интерфейсов;
    • -e - выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса;
    • -f - выводить доменное имя для ip адресов;
    • -F - читать пакеты из файла, а не интерфейса;
    • -G - создавать новый файл лога через указанный промежуток времени;
    • -H - обнаруживать заголовки 802.11s;
    • -i - имя интерфейса для перехвата пакетов. Вы можете захватывать пакеты со всех интерфейсов, для этого укажите any;
    • -I - переключить интерфейс в режим монитора для захвата всех проходящих пакетов;
    • -j - установить формат Timestamp для записи пакетов;
    • -J - посмотреть доступные Timestamp;
    • -K - не проверять контрольные суммы пакетов;
    • -l - добавить поддержку прокрутки к выводу;
    • -L - вывести поддерживаемые протоколы подключения для интерфейса;
    • -n - не отображать доменные имена;
    • -r - прочитать пакеты из файла, созданного с помощью -w;
    • -v, -vv, -vvv - более подробный вывод;
    • -q - выводить минимум информации;
    • -w - записать вывод в файл;
    • -Z - пользователь, от имени которого будут создаваться файлы.

    Это не все опции, но их вам будет вполне достаточно для решения большинства задач. Чаще мы будем применять фильтры. С помощью фильтров вы можете отсеивать только те типы пакетов, которые хотите видеть. Вы можете фильтровать по ip адресу, протоколу, сети, интерфейсу и многим другим параметрам. Но фильтры tcpdump мы будем рассматривать уже на примерах.

    Как пользоваться tcpdump

    Перед тем как перейти к использованию tcpdump нужно посмотреть какие сетевые интерфейсы вы можете использовать. Для этого запустите команду с опцией -D:

    Начнем рассматривать примеры tcpdump с захвата трафика на интерфейсе eth0, у меня это основной интерфейс, который подключен к интернету. Для работы программе необходимы права суперпользователя, поэтому не забудьте указать sudo:

    sudo tcpdump -i eth0

    Чтобы остановить работу команды нажмите Ctrl+C. В выводе вы сразу же увидите все перехваченные пакеты. Формат записи для каждого пакета будет выглядеть следующим образом:

    13:03:41.795599 IP udp032919uds.hawaiiantel.net.6881 > 192.168.1.2.52055 : Flags [.], seq 640160396:640161844, ack 436677393, win 2050, options , length 1448

    Такой формат характерен для пакетов данных, в зависимости от протокола выделенный черным текст будет отличаться. Сначала идет временная метка, затем протокол, далее зеленым отмечен ip адрес отправителя, а синим адрес адресата, в данном случае, нашего компьютера. Дальше идут дополнительные параметры tcp и в конце размер пакета в байтах. Подробность вывода информации можно контролировать с помощью опций -v, Например:

    sudo tcpdump -v -i eth0

    Здесь уже появляется информация о протоколе IP:

    IP (tos 0x0, ttl 64 , id 50309, offset 0, flags , proto TCP (6) , length 64)

    Мы можем узнать информацию о времени жизни пакета ttl, версию протокола TCP и длину поля заголовка. Опция -vv будет выводить проверку контрольных сумм пакета и содержимое в некоторых случаях.

    После опций вы можете указывать фильтры для пакетов. Вот основные параметры, по которым можно отсеивать пакеты:

    • host - имя хоста;
    • ip - ip адрес;
    • proto - протокол;
    • net - адрес сети или подсети;
    • port - адрес порта;
    • src - параметр, касающийся отправителя;
    • dst - параметр, касающейся получателя;
    • Доступны такие протоколы: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp и udp .

    Вы можете все это комбинировать между собой, чтобы получить желаемый результат. Рассмотрим более детально на примерах. Отсеем только пакеты, адресованные нашему компьютеру:

    sudo tcpdump -i eth0 ip dst 192.168.1.2

    Также мы можем отобрать пакеты, отправляемые на определенный узел:

    sudo tcpdump -i eth0 dst host google-public-dns-a.google.com

    Как видите, это DNS пакеты и здесь вместо флагов TCP содержится полезная информация, запрос ip адреса хоста. Также вы можете выбрать ответные пакеты от определенного хоста:

    sudo tcpdump -i eth0 src host google-public-dns-a.google.com

    Здесь нет полного содержимого пакета, если вы хотите его получить нужно использовать опцию -v или -vv:

    sudo tcpdump -vv -i eth0 host dst google-public-dns-a.google.com

    С помощью оператора and вы можете объединить несколько фильтров в один:

    sudo tcpdump -i eth0 dst host google-public-dns-a.google.com and src host google-public-dns-a.google.com

    Из операций объедения доступны and и or, также можно применять скобки для обозначения приоритета. Вам необязательно указывать host, во многих случаях достаточно src или dst, утилита сама поймет что имелось в виду. Точно такую же конструкцию можно использовать для портов. Например, мы можем отсеять все запросы или ответы к DNS (на порт 53):

    sudo tcpdump -vv -i eth0 port 53

    Точно такое же можно провернуть для http (порт 80):

    sudo tcpdump -vv -i eth0 port 80

    Естественно, тут тоже можно применять dst и src для более конкретных результатов. Вы можете фильтровать не один порт, а целый диапазон портов:

    sudo tcpdump portrange 21-23

    Если указать один из протоколов, вы отфильтруете только пакеты этого протокола, например tcp, udp или arp:

    sudo tcpdump -vv arp

    Точно также можно выбрать все udp пакеты:

    sudo tcpdump -vv udp

    Также доступен фильтр по обозначению сети:

    sudo tcpdump net 129.168.1.1/24

    Кроме того, вы можете фильтровать пакеты по их размеру, например, меньше 32 байт:

    sudo tcpdump less 32

    Или больше 128:

    tcpdump greater 128

    sudo tcpdump -i eth0 -w file.pcap

    Этот файл можно открыть с помощью любой программы для чтения таких файлов, например, Wireshark. Чтобы открыть сохраненные в файл пакеты используйте опцию -r:

    sudo tcpdump -r file.pcap

    Остался еще один момент, на который стоит обратить внимание. Это формат отображения содержимого пакетов. Вы можете вывести содержимое пакета в формате ASCII используйте опцию -A:

    sudo tcpdump -A -i eth0

    Также вы можете отобразить содержимое в формате HEX и ASCII для этого используйте -XX:

    sudo tcpdump -XX -i eth0

    Выводы

    В этой статье мы рассмотрели как пользоваться tcpdump. Это очень мощный сетевой анализатор, который работает только через командную строку. Надеюсь, эта информация была полезной для вас и теперь использование tcpdump будет намного проще, если у вас остались вопросы, спрашивайте в комментариях!

    На завершение видео с лекцией о tcpdump:

    Если вам необходимо проанализировать или перехватить сетевые пакеты в Linux, то лучше всего для этого использовать консольную утилиту tcpdump . Но проблема возникает в довольно сложном ее управлении. Рядовому пользователю покажется, что работать с утилитой неудобно, но это только на первый взгляд. В статье будет рассказано, как устроена tcpdump, какой синтаксис она имеет, как ей пользоваться, а также будут приведены многочисленные примеры ее использования.

    Читайте также: Руководства по настройке интернет-соединения в Ubuntu , Debian , Ubuntu Server

    Большинство разработчиков операционных систем на базе Linux включают утилиту tcpdump в список предустановленных, но если по какой-то причине она в вашем дистрибутиве отсутствует, ее можно всегда скачать и установить через «Терминал» . Если у вас ОС основана на Debian, а это Ubuntu, Linux Mint, Kali Linux и им подобные, нужно выполнить эту команду:

    sudo apt install tcpdump

    При установке вам нужно ввести пароль. Обратите внимание, что при наборе он не отображается, также для подтверждения установки нужно ввести символ «Д» и нажать Enter .

    Если у вас Red Hat, Fedora или CentOS, то команда для установки будет иметь следующий вид:

    sudo yam install tcpdump

    После того как утилита будет установлена, ей сразу же можно пользоваться. Об этом и о многом другом будет рассказано дальше по тексту.

    Синтаксис

    Как и любая другая команда, tcpdump имеет свой синтаксис. Зная его, вы сможете задавать все необходимые параметры, которые будут учитываться при выполнении команды. Синтаксис имеет следующий вид:

    tcpdump опции -i интерфейс фильтры

    При использовании команды вам обязательно необходимо указывать интерфейс для отслеживания. Фильтры и опции - это не обязательные переменные, но они позволяют выполнить более гибкую настройку.

    Опции

    Хоть опцию и не обязательно указывать, перечислить доступные все же нужно. В таблице продемонстрирован не весь их список, а только наиболее популярные, но их с лихвой хватит, чтобы решить большинство поставленных задач.

    Опция Определение
    -A Позволяет отсортировать пакеты с форматом ASCII
    -l Добавляет функцию прокрутки
    -i После ввода нужно указать сетевой интерфейс, который будет отслеживаться. Чтобы начать отслеживать все интерфейсы, впишите после опции слово «any»
    -c Завершает процесс отслеживания после проверки указанного количества пакетов
    -w Генерирует текстовый файл с отчетом проверки
    -e Показывает уровень интернет-соединения пакета данных
    -L Выводит только те протоколы, которые поддерживает указанный сетевой интерфейс
    -C Создает другой файл во время записи пакета, если его размер больше заданного
    -r Открывает файл для чтения, который был создан с помощью опции -w
    -j Для записи пакетов будет использоваться формат TimeStamp
    -J Позволяет просмотреть все доступные форматы TimeStamp
    -G Служит для создания файла с логами. Опция требует также указания временного значения, по истечении которого будет создаваться новый лог
    -v, -vv, -vvv В зависимости от количества символов в опции, вывод команды будет становиться подробнее (увеличение прямо пропорционально количеству символов)
    -f В выводе показывает имя домена адресов IP
    -F Позволяет считывать информацию не из сетевого интерфейса, а из указанного файла
    -D Демонстрирует все сетевые интерфейсы, которые можно использовать
    -n Деактивирует отображение доменных имен
    -Z Задает пользователя, под учетной записью которого будут созданы все файлы
    -K Пропуск анализа контрольных сумм
    -q Демонстрация краткой информации
    -H Позволяет обнаружить заголовки 802.11s
    -I Используется при захвате пакетов в режиме монитора

    Разобрав опции, чуть ниже мы перейдем непосредственно к их применениям. А пока что будут рассмотрены фильтры.

    Фильтры

    Как говорилось в самом начале статьи, вы можете добавлять в синтаксис tcpdump фильтры. Сейчас будут рассмотрены наиболее популярные из них:

    Все вышеперечисленные фильтры можно комбинировать между собой, таким образом, в выдаче команды вы будете наблюдать только ту информацию, которую желаете увидеть. Чтобы более детально разобраться в использовании вышеперечисленных фильтров, стоит привести примеры.

    Примеры использования

    Сейчас будут приведены часто используемые варианты синтаксиса команды tcpdump. Все их перечислить не получится, так как их вариаций может быть бесконечное множество.

    Просмотр списка интерфейсов

    Рекомендуется каждому пользователю изначально проверить список всех его сетевых интерфейсов, которые можно отследить. Из вышеприведенной таблицы мы знаем, что для этого нужно использовать опцию -D , поэтому в терминале выполните следующую команду:

    Как вы можете заметить, в примере есть восемь интерфейсов, которые можно просмотреть с помощью команды tcpdump. В статье будут приводиться примеры с ppp0 , вы же можете использовать любой другой.

    Обычный захват трафика

    Если нужно отследить один сетевой интерфейс, то сделать это вы можете с помощью опции -i . Не забудьте после ее ввода указать наименование интерфейса. Вот пример выполнения такой команды:

    sudo tcpdump -i ppp0

    Обратите внимание: перед самой командой нужно вписать «sudo», так как она требует права суперпользователя.

    Примечание: после нажатия Enter в «Терминале» беспрерывно будут отображаться перехваченные пакеты. Чтобы остановить их поток, нужно нажать комбинацию клавиш Ctrl+C.

    Если вы выполняете команду без дополнительных опций и фильтров, то увидите следующий формат отображения отслеженных пакетов:

    22:18:52.597573 IP vrrp-topf2.p.mail.ru.https > 10.0.6.67.35482 : Flags , seq 1:595, ack 1118, win 6494, options , length 594

    Где цветом выделено:

    • синим - время получения пакета;
    • зеленым - адрес отправителя;
    • фиолетовым - адрес получателя;
    • серым - дополнительная информация о tcp;
    • красным - размер пакета (отображается в байтах).

    Этот синтаксис имеет возможность вывода в окне «Терминала» без использования дополнительных опций.

    Захват трафика с опцией -v

    Как известно из таблицы, опция -v позволяет увеличить количество информации. Разберем на примере. Проверим тот же интерфейс:

    sudo tcpdump -v -i ppp0

    Здесь можно заметить, что появилась следующая строка в выводе:

    IP (tos 0x0, ttl 58 , id 30675, offset 0, flags , proto TCP (6) , length 52

    Где цветом выделено:

    • оранжевым - версия протокола;
    • синим - продолжительность жизни протокола;
    • зеленым - длина заголовка поля;
    • фиолетовым - версия пакета tcp;
    • красным - размер пакета.

    Также в синтаксис команды вы можете прописать опцию -vv или -vvv , что позволит еще больше увеличить объем выводимой информации на экран.

    Опция -w и -r

    В таблице опций упоминалось о возможности сохранять все выводимые данные в отдельный файл, чтобы позже их можно было просмотреть. За это отвечает опция -w . Пользоваться ей довольно просто, всего-навсего укажите ее в команде, а затем впишите название будущего файла с расширением «.pcap» . Рассмотрим все на примере:

    sudo tcpdump -i ppp0 -w file.pcap

    Обратите внимание: во время записи логов в файл на экране «Терминала» не отображается никакой текст.

    Когда вы захотите просмотреть записанный вывод, необходимо использовать опцию -r , после которой написать название ранее записанного файла. Применяется она без других опций и фильтров:

    sudo tcpdump -r file.pcap

    Обе эти опции отлично подойдут в тех случаях, когда необходимо сохранить большие объемы текста для последующего разбора.

    Фильтрация по IP

    Из таблицы фильтров мы знаем, что dst позволяет вывести на экран консоли только те пакеты, которые были получены адресом, что указан в синтаксисе команды. Таким образом очень удобно просматривать пакеты, полученные вашим компьютером. Для этого в команде нужно всего лишь указать свой IP-адрес:

    sudo tcpdump -i ppp0 ip dst 10.0.6.67

    Как можно заметить, помимо dst , в команде мы прописали также фильтр ip . Другими словами, мы сказали компьютеру, чтобы при отборе пакетов он обращал внимание на их IP адрес, а не на другие параметры.

    По IP можно отфильтровать и отправляемые пакеты. В примере приведем снова наш IP. То есть сейчас мы отследим, какие пакеты отправляются с нашего компьютера на другие адреса. Для этого нужно выполнить следующую команду:

    sudo tcpdump -i ppp0 ip src 10.0.6.67

    Как можно заметить, в синтаксисе команды мы изменили фильтр dst на src , тем самым сказав машине, чтобы она искала отправителя по IP.

    Фильтрация по HOST

    По аналогии с IP в команде мы можем указать фильтр host , чтобы отсеять пакеты с интересующим хостом. То есть в синтаксисе вместо IP-адреса отправителя/получателя нужно будет указывать его хост. Выглядит это следующим образом:

    sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com

    На изображении можно увидеть, что в «Терминале» отображаются только те пакеты, которые были отправлены с нашего IP на хост google.com. Как можно понять, вместо хоста google, можно вписать любой другой.

    Как и в случае с фильтрацией по IP, в синтаксисе dst можно заменить на src , чтобы увидеть пакеты, которые отправляются на ваш компьютер:

    sudo tcpdump -i ppp0 src host google-public-dns-a.google.com

    Обратите внимание: фильтр host должен стоять после dst или src, иначе команда выдаст ошибку. В случае с фильтрацией по IP, наоборот, dst и src стоят перед фильтром ip.

    Применение фильтра and и or

    Если у вас появляется необходимость использовать сразу несколько фильтров в одной команде, то для этого нужно применять фильтр and или or (зависит от случая). Указывая фильтры в синтаксисе и разделяя их этими оператором, вы «заставите» работать их как один. На примере это выглядит следующим образом:

    sudo tcpdump -i ppp0 ip dst 95.47.144.254 or ip src 95.47.144.254

    Из синтаксиса команды видно, что мы хотим вывести на экран «Терминала» все пакеты, которые были отправлены на адрес 95.47.144.254 и пакеты, полученные этим же адресом. Также вы можете изменять некоторые переменные в этом выражении. Например, вместо IP указать HOST или заменить непосредственно сами адреса.

    Фильтр port и portrange

    Фильтр port отлично подойдет в тех случаях, когда нужно получить информацию о пакетах с определенным портом. Так, если вам нужно увидеть лишь ответы или запросы DNS, нужно указать порт 53:

    sudo tcpdump -vv -i ppp0 port 53

    Если вы хотите просмотреть пакеты http, нужно ввести порт 80:

    sudo tcpdump -vv -i ppp0 port 80

    Помимо прочего, есть возможность отследить сразу диапазон портов. Для этого применяется фильтр portrange :

    sudo tcpdump portrange 50-80

    Как можно заметить, в связке с фильтром portrange не обязательно указывать дополнительные опции. Достаточно всего лишь задать диапазон.

    Фильтрация по протоколам

    Вы также можете вывести на экран только тот трафик, который соответствует какому-либо протоколу. Для этого нужно использовать в качестве фильтра наименование этого самого протокола. Разберем на примере udp :

    sudo tcpdump -vvv -i ppp0 udp

    Как можно увидеть на изображении, после выполнения команды в «Терминале» отобразились лишь пакеты с протоколом udp . Соответственно, вы можете осуществить фильтрацию и по другим, например, arp :

    sudo tcpdump -vvv -i ppp0 arp

    или tcp :

    sudo tcpdump -vvv -i ppp0 tcp

    Фильтр net

    Оператор net помогает отфильтровать пакеты, беря за основу обозначение их сети. Пользоваться им так же просто, как и остальными - нужно в синтаксисе указать атрибут net , после чего вписать адрес сети. Вот пример такой команды:

    sudo tcpdump -i ppp0 net 192.168.1.1

    Фильтрация по размеру пакета

    Мы не рассмотрели еще два интересных фильтра: less и greater . Из таблицы с фильтрами мы знаем, что они служат для вывода пакетов данных больше (less ) или меньше (greater ) размера, указанного после ввода атрибута.

    Допустим мы хотим следить лишь за пакетами, которые не превышают отметку в 50 бит, тогда команда будет иметь следующий вид:

    sudo tcpdump -i ppp0 less 50

    Теперь давайте отобразим в «Терминале» пакеты, размер которых больше 50 бит:

    sudo tcpdump -i ppp0 greater 50

    Как можно заметить, применяются они одинаково, разница лишь в названии фильтра.

    Заключение

    По окончании статьи можно сделать вывод, что команда tcpdump - это отличный инструмент, с помощью которого можно отследить любой передаваемый по интернету пакет данных. Но для этого недостаточно просто ввести саму команду в «Терминал» . Добиться желаемого результата получится только в случае, если использовать всевозможные опции и фильтры, а также их комбинации.