Iš pradžių tai parašė 1988 m. Keturi tinklo tyrimų grupės darbuotojai Lawrence Berkeley laboratorijoje Kalifornijoje. Po vienuolikos metų jį organizavo Michealas Richardsonas ir Billas Fenneris 1999 m., Sukūrę „tcpdump“ svetainę. „Tcpdump“ veikia visose „Unix“ tipo operacinėse sistemose. „Windows“ versija „Tcpdump“ vadinama „WinDump“ ir naudoja „WinPcap“, „Windows“ alternatyvą „libpcap“.
Norėdami įdiegti „tcpdump“ naudokite snap:
$ sudo snap install tcpdumpNorėdami įdiegti „tcpdump“, naudokite paketų tvarkyklę:
$ sudo apt-get install tcpdump (Debian / Ubuntu)$ sudo dnf įdiekite tcpdump (CentOS / RHEL 6 ir 7)
$ sudo yum įdiekite „tcpdump“ („Fedora“ / „CentOS“ / RHEL 8)
Pažiūrėkime į skirtingus naudojimo būdus ir išvestis, kai tyrinėjame „tcpdump“!
UDP
„Tcpdump“ taip pat gali išmesti UDP paketus. Mes naudosime „netcat“ (nc) įrankį, norėdami išsiųsti UDP paketą ir tada jį išmesti.
$ echo -n "tcpdumper" | nc -w 1 -u vietinis šeimininkas 1337 mPirmiau pateiktoje komandoje mes siunčiame UDP paketą, susidedantį iš eilutės „Tcpdumper“ į UDP prievadą 1337 m per vietinis šeimininkas. „Tcpdump“ užfiksuoja siunčiamą paketą per UDP 1337 prievadą ir jį parodys.
Dabar mes išmesime šį paketą naudodami „tcpdump“.
$ sudo tcpdump -i lo udp prievadas 1337 -vvv -XŠi komanda užfiksuos ir parodys užfiksuotus duomenis iš paketų ASCII ir šešioliktainėje formoje.
tcpdump: klausymasis lo, nuorodos tipo EN10MB (Ethernet), momentinės nuotraukos ilgis 262144 baitai04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, offset 0, flags [DF], protinė UDP (17), ilgis 37)
vietinis šeimininkas.54574> localhost.1337: [blogas udp cksum 0xfe24 -> 0xeac6!] UDP, 9 ilgis
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E…%… @.@…;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $ tcpd
0x0020: 756d 7065 72 bamperis
Kaip matome, paketas buvo išsiųstas į 1337 prievadą, o eilutės ilgis buvo 9 tcpdumper yra 9 baitai. Taip pat galime pamatyti, kad paketas buvo rodomas šešioliktainiu formatu.
DHCP
„Tcpdump“ taip pat gali atlikti DHCP paketų tyrimus tinkle. DHCP naudoja UDP prievadą Nr. 67 arba 68, todėl mes apibrėžsime ir apribosime tcpdump tik DHCP paketams. Tarkime, kad mes naudojame „wifi“ tinklo sąsają.
Čia bus naudojama komanda:
tcpdump: klausymasis „wlan0“, nuorodos tipo EN10MB („Ethernet“), momentinės nuotraukos ilgis 262144 baitai
03:52:04.004356 00: 11: 22: 33: 44: 55> 00: 11: 22: 33: 44: 66, ethertype IPv4 (0x0800), ilgis 342: (tos 0x0, ttl 64, id 39781, offset 0, flags [DF ], UDP proto (17), ilgis 328)
192.168.10.21.68> 192.168.10.1.67: [udp sum ok] BOOTP / DHCP, užklausa nuo 00: 11: 22: 33: 44: 55, ilgis 300, xid 0xfeab2d67, vėliavos [nėra] (0x0000)
Klientas-IP 192.168.10.16
„Client-Ethernet“ adresas 00: 11: 22: 33: 44: 55
Pardavėjas-rfc1048 plėtiniai
Stebuklingasis slapukas 0x63825363
DHCP pranešimas (53), 1 ilgis: atleiskite
Serverio ID (54), ilgis 4: 192.168.10.1
Pagrindinio kompiuterio vardas (12), 6 ilgis: „papūga“
PABAIGA (255), ilgis 0
PAD (0), ilgis 0, įvyksta 42
DNS
DNS, dar vadinamas domenų vardų sistema, patvirtina, kad pateikia jums tai, ko ieškote, suderindamas domeno vardą su domeno adresu. Norėdami patikrinti savo įrenginio DNS lygio ryšį internete, galite naudoti „tcpdump“ tokiu būdu. DNS ryšiui naudoti naudoja 53 UDP prievadą.
$ sudo tcpdump -i wlan0 udp 53 prievadastcpdump: klausymasis „wlan0“, nuorodos tipo EN10MB („Ethernet“), momentinės nuotraukos ilgis 262144 baitai
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, 0 poslinkis, vėliavos [DF], protinė UDP (17), ilgis 72)
192.168.10.16.45899> vienas.vienas.vienas.vienas.domenas: [udp sum ok] 20852+ A? mozilla.debesėlis-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, 0 poslinkis, vėliavos [DF], UDP proto (17), ilgis 104)
vienas.vienas.vienas.vienas.domenas> 192.168.10.16.45899: [udp sum ok] 20852 q: A? mozilla.debesėlis-dns.com. 2/0/0 mozilla.debesėlis-dns.com. [24s] A 104.16.249.249, mozilla.debesėlis-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, offset 0, flags [DF], protinė UDP (17), ilgis 66)
192.168.10.16.34043> vienas.vienas.vienas.vienas.domenas: [udp sum ok] 40757+ PTR? 1.1.1.1.in-addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, ID 56387, 0 poslinkis, vėliavos [DF], protinė UDP (17), ilgis 95)
vienas.vienas.vienas.vienas.domenas> 192.168.10.16.34043: [udp sum ok] 40757 q: PTR? 1.1.1.1.in-addr.arpa. 01/01 1.1.1.1.in-addr.arpa. [26m53s] PTR vienas.vienas.vienas.vienas. (67)
ARP
Adreso skyrimo protokolas naudojamas nuorodų sluoksnio adresui, pvz., MAC adresui, rasti. Jis susietas su nurodytu interneto sluoksnio adresu, paprastai IPv4 adresu.
Mes naudojame „tcpdump“, kad užfiksuotume ir perskaitytume duomenis, esančius arp paketuose. Komanda yra tokia paprasta, kaip:
$ sudo tcpdump -i wlan0 arp -vvvtcpdump: klausymasis „wlan0“, nuorodos tipo EN10MB („Ethernet“), momentinės nuotraukos ilgis 262144 baitai
03:44:12.023668 ARP, „Ethernet“ („len 6“), „IPv4“ („Len 4“), prašykite, kas turi 192.168.10.1 pasakyti 192.168.10.2, ilgis 28
03:44:17.140259 ARP, „Ethernet“ („len 6“), „IPv4“ („Len 4“), prašykite, kas turi 192.168.10.21 pasakok 192.168.10.1, ilgis 28
03:44:17.140276 ARP, „Ethernet“ („len 6“), „IPv4“ („len 4“), atsakymas 192.168.10.21 yra 00: 11: 22: 33: 44: 55 (oui nežinoma), ilgis 28
03:44:42.026393 ARP, „Ethernet“ („Len 6“), „IPv4“ („Len 4“), prašykite, kas turi 192.168.10.1 pasakyti 192.168.10.2, ilgis 28
ICMP
ICMP, taip pat žinomas kaip interneto valdymo pranešimų protokolas, yra palaikomasis protokolas interneto protokolo rinkinyje. ICMP naudojamas kaip informacinis protokolas.
Norėdami peržiūrėti visus ICMP paketus sąsajoje, galime naudoti šią komandą:
$ sudo tcpdump icmp -vvvtcpdump: klausymasis „wlan0“, nuorodos tipo EN10MB („Ethernet“), momentinės nuotraukos ilgis 262144 baitai
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, offset 0, flags [DF], proto ICMP (1), ilgis 84)
192.168.10.16> 192.168.10.1: ICMP aido užklausa, ID 47363, 1 seka, 64 ilgis
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, offset 0, flags [none], proto ICMP (1), ilgis 84)
192.168.10.1> 192.168.10.16: ICMP aido atsakymas, ID 47363, 1 seka, 64 ilgis
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, offset 0, flags [DF], proto ICMP (1), ilgis 84)
192.168.10.16> 192.168.10.1: ICMP aido užklausa, ID 47363, 2 seka, 64 ilgis
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, offset 0, flags [none], proto ICMP (1), ilgis 84)
192.168.10.1> 192.168.10.16: ICMP aido atsakymas, ID 47363, 2 seka, 64 ilgis
NTP
NTP yra tinklo protokolas, sukurtas specialiai sinchronizuoti laiką mašinų tinkle. Norėdami užfiksuoti srautą ntp:
$ sudo tcpdump dst 123 prievadas04:31:05.547856 IP (tos 0x0, ttl 64, id 34474, offset 0, flags [DF], protinė UDP (17), ilgis 76)
192.168.10.16.ntp> time-b-wvv.nist.gov.ntp: [udp sum ok] NTPv4, klientas, ilgis 48
Šuolio indikatorius: laikrodis nesinchronizuotas (192), „Stratum 0“ (nenurodytas), 3 apklausa (8 sekundės), tikslumas -6
Šaknies vėlavimas: 1.000000, šaknų dispersija: 1.000000, nuorodos ID: (nenurodytas)
Pamatinė laiko žymė: 0.000000000
Kūrėjo laiko žymė: 0.000000000
Gauti laiko žymę: 0.000000000
Persiuntimo laiko žymė: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Kūrėjas - gavimo laiko žyma: 0.000000000
Kūrėjas - perdavimo laiko žymė: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, 0 poslinkis, vėliavos [nėra], protinė UDP (17), ilgis 76)
laikas-b-wvv.nist.gov.ntp> 192.168.10.16.ntp: [udp suma ok] NTPv3, serveris, 48 ilgis
Šuolio rodiklis: (0), „Stratum 1“ (pagrindinė nuoroda), apklausa 13 (8192s), tikslumas -29
Šaknies vėlavimas: 0.000244, šaknų dispersija: 0.000488, nuorodos ID: NIST
Nuorodos laiko žymė: 3825358208.000000000 (2021-03-21T23: 30: 08Z)
Kūrėjo laiko žymė: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Gauti laiko žymę: 3825358275.028660181 (2021-03-21T23: 31: 15Z)
Persiuntimo laiko žymė: 3825358275.028661296 (2021-03-21T23: 31: 15Z)
Kūrėjas - gavimo laiko žyma: +9.480896026
Kūrėjas - perdavimo laiko žymė: +9.480897141
SMTP
SMTP arba paprastasis pašto perdavimo protokolas daugiausia naudojamas el. Laiškams. „Tcpdump“ gali tai naudoti, kad išgautų naudingą el. Pašto informaciją. Pavyzdžiui, norėdami išgauti el. Pašto gavėjus / siuntėjus:
$ sudo tcpdump -n -l prievadas 25 | grep -i 'PAŠTAS NUO \ | RCPT Į'„IPv6“
„IPv6“ yra „naujos kartos“ IP, teikianti platų IP adresų asortimentą. „IPv6“ padeda pasiekti ilgalaikę interneto sveikatą.
Norėdami užfiksuoti IPv6 srautą, naudokite „IP6“ filtrą, nurodydami TCP ir UDP protokolus naudodami „Proto 6“ ir „Proto-17“.
$ sudo tcpdump -n -i bet koks ip6 -vvvtcpdump: duomenų ryšio tipas LINUX_SLL2
tcpdump: klausytis bet kokio, nuorodos tipo LINUX_SLL2 („Linux“ parengtas v2), momentinės nuotraukos ilgis 262144 baitai
04:34:31.847359 lo IP6 (srauto etiketė 0xc7cb6, hlim 64, kitos antraštės UDP (17) naudingosios apkrovos ilgis: 40) :: 1.49395> :: 1.49395: [blogas udp cksum 0x003b -> 0x3587!] UDP, 32 ilgis
04:34:31.859082 lo IP6 (srauto etiketė 0xc7cb6, hlim 64, kitos antraštės UDP (17) naudingosios apkrovos ilgis: 32) :: 1.49395> :: 1.49395: [blogas udp cksum 0x0033 -> 0xeaef!] UDP, ilgis 24
04:34:31.860361 lo IP6 (srauto etiketė 0xc7cb6, hlim 64, kitos antraštės UDP (17) naudingosios apkrovos ilgis: 40) :: 1.49395> :: 1.49395: [blogas udp cksum 0x003b -> 0x7267!] UDP, 32 ilgis
04:34:31.871100 lo IP6 (srauto etiketė 0xc7cb6, hlim 64, kitos antraštės UDP (17) naudingosios apkrovos ilgis: 944) :: 1.49395> :: 1.49395: [blogas udp cksum 0x03c3 -> 0xf890!] UDP, ilgis 936
Užfiksuoti 4 paketai
12 pakelių, gautų filtru
0 paketų, kuriuos numetė branduolys
'-C 4' pateikia tik iki 4 paketų paketus. Galime nurodyti paketų skaičių iki n ir užfiksuoti n paketus.
HTTP
Hiperteksto perdavimo protokolas naudojamas duomenims perkelti iš žiniatinklio serverio į naršyklę, norint peržiūrėti tinklalapius. HTTP naudoja TCP formos ryšį. Tiksliau, naudojamas TCP 80 prievadas.
Norėdami atsispausdinti visus IPv4 HTTP paketus į 80 prievadą ir iš jo:
tcpdump: klausymasis „wlan0“, nuorodos tipo EN10MB („Ethernet“), momentinės nuotraukos ilgis 262144 baitai03:36:00.602104 IP (tos 0x0, ttl 64, id 722, offset 0, flags [DF], proto TCP (6), ilgis 60)
192.168.10.21.33586> 192.168.10.1.http: Vėliavos [S], cksum 0xa22b (teisinga), seka 2736960993, Win 64240, parinktys [mss 1460, sackOK, TS val 389882294 ecr 0, nop, wscale 10], ilgis 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), ilgis 60)
192.168.10.1.http> 192.168.10.21.33586: Vėliavos [S.], cksum 0x2dcc (teisingas), sek 4089727666, ack 2736960994, win 14480, opcionai [mss 1460, sackOK, TS val 30996070 ecr 389882294, nop, wscale 3], ilgis 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, 0 poslinkis, vėliavos [DF], proto TCP (6), 52 ilgis)
192.168.10.21.33586> 192.168.10.1.http: Vėliavos [.], cksum 0x94e2 (teisinga), 1 seka, ack 1, win 63, opcionai [nop, nop, TS val 389882297 ecr 30996070], ilgis 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, offset 0, flags [DF], proto TCP (6), ilgis 481)
HTTP užklausos ..
192.168.10.21.33586> 192.168.10.1.http: Vėliavos [P.], cksum 0x9e5d (teisinga), seka 1: 430, ack 1, win 63, opcionai [nop, nop, TS val 389882297 ecr 30996070], ilgis 429: HTTP, ilgis: 429GET / HTTP / 1.1
Šeimininkas: 192.168.10.1
Vartotojo agentas: „Mozilla“ / 5.0 („Windows NT 10“.0; rv: 78.0) „Gecko“ / 20100101 „Firefox“ / 78.0
Priimti: text / html, application / xhtml + xml, application / xml; q = 0.9, vaizdas / tinklalapis, * / *; q = 0.8
Priimti kalbą: en-US, en; q = 0.5
Priimti-koduoti: gzip, defliacija
DNT: 1
Ryšys: gyvas
Slapukas: _TESTCOOKIESUPPORT = 1; SID = c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Prašymai atnaujinti, nesaugūs: 1
Taip pat užfiksuoti atsakymai
192.168.10.1.http> 192.168.10.21.33586: Vėliavos [P.], cksum 0x84f8 (teisingai), sekos 1: 523, ack 430, laimėti 1944, parinktys [nop, nop, TS val 30996179 ecr 389882297], ilgis 522: HTTP, ilgis: 522HTTP / 1.1 200 gerai
Serveris: ZTE žiniatinklio serveris 1.0 „ZTE corp“ 2015 m.
Priimti diapazonus: baitai
Ryšys: uždaryti
„X-Frame-Options“: SAMEORIGIN
„Cache-Control“: nėra talpyklos, nėra parduotuvės
Turinio ilgis: 138098
Nustatyti slapukus: _TESTCOOKIESUPPORT = 1; PATH = /; Tikhttp
Turinio tipas: tekstas / html; simbolis = utf-8
„X-Content-Type-Options“: nosis
Turinio saugumo politika: „protėvių rėmo“ „nesaugus įterpimas“ „nesaugus evalas“; img-src „savęs“ duomenys :;
X-XSS apsauga: 1; mode = blokuoti
Nustatyti slapukus: SID =; baigiasi = antradienis, 1970 m. Sausio 1 d. 00:00:00 GMT; kelias = /; Tikhttp
TCP
Norėdami užfiksuoti tik TCP paketus, ši komanda padarys viską:
$ sudo tcpdump -i wlan0 tcptcpdump: klausymasis „wlan0“, nuorodos tipo EN10MB („Ethernet“), momentinės nuotraukos ilgis 262144 baitai
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, offset 0, flags [none], proto TCP (6), 104 ilgis)
tl-in-f189.1e100.neto.https> 192.168.10.16.50272: Vėliavos [P.], cksum 0xc924 (teisinga), sek 1377740065: 1377740117, ack 1546363399, win 300, opcionai [nop, nop, TS val 13149401 ecr 3051434098], ilgis 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, offset 0, flags [DF], proto TCP (6), 52 ilgis)
192.168.10.16.50272> tl-in-f189.1e100.neto.https: vėliavos [.], cksum 0xf898 (teisingai), 1 seka, ack 52, win 63, opcionai [nop, nop, TS val 3051461952 ecr 13149401], ilgis 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, offset 0, flags [DF], proto TCP (6), ilgis 88)
192.168.10.16.50272> tl-in-f189.1e100.neto.https: Vėliavos [P.], cksum 0x2531 (teisinga), seka 1:37, ack 52, win 63, opcionai [nop, nop, TS val 3051463260 ecr 13149401], ilgis 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, offset 0, flags [DF], proto TCP (6), ilgis 88)
192.168.10.16.50434> hkg12s18-in-f14.1e100.neto.https: Vėliavos [P.], cksum 0xb21e (teisinga), seka 328391782: 328391818, ack 3599854191, win 63, options [nop, nop, TS val 3656137742 ecr 2564108387], ilgis 36
Užfiksuoti 4 paketai
4 paketus gavo filtras
0 paketų, kuriuos numetė branduolys
Paprastai TCP paketų surinkimas lemia didelį srautą; galite išsamiai nurodyti savo reikalavimus, įtraukdami filtrus į fiksavimą, pvz .:
Uostas
Nurodo stebimą prievadą
Šaltinio IP
Norėdami peržiūrėti paketus iš nurodyto šaltinio
Paskirties IP
Norėdami peržiūrėti paketus į nurodytą paskirties vietą
Paketų surinkimo išsaugojimas failuose
Norėdami išsaugoti paketų fiksavimą analizei atlikti vėliau, galime naudoti tcpdump parinktį -w, kuriai reikalingas failo pavadinimo parametras. Šie failai yra išsaugomi „Pcap“ (paketinis surinkimas) failo formatu, kurį galima naudoti paketams fiksuoti arba siųsti.
Pavyzdžiui:
$ sudo tcpdumpGalime pridėti filtrus, jei norime užfiksuoti TCP, UDP, ICMP paketus ir kt.
Skaitykite paketų surinkimą iš failų
Deja, negalite perskaityti išsaugoto failo naudodamiesi bendromis komandomis „skaityti failą“, pvz., Katė ir kt. Išvestis yra visa ko, bet nesuprantama, ir sunku pasakyti, kas yra faile. '-r' naudojamas nuskaityti paketus, išsaugotus .„Pcap“ failas, kurį anksčiau saugojo „-w“ ar kita programinė įranga, sauganti „pcaps“:
$ sudo tcpdump -rTai iš užfiksuotų paketų surinktus duomenis spausdina terminalo ekrane skaitomu formatu.
„Tcpdump“ cheatsheet
Tcpdump gali būti naudojamas su kitomis Linux komandomis, tokiomis kaip grep, sed ir kt., išgauti naudingos informacijos. Štai keletas naudingų derinių ir raktinių žodžių, sujungtų naudojant „tcpdump“, norint gauti vertingos informacijos.
Išskleisti HTTP vartotojo agentus:
$ sudo tcpdump -n | grep "Vartotojo agentas:"URL, kurių prašoma per HTTP, galima stebėti naudojant „tcpdump“, pvz .:
$ sudo tcpdump -v -n | egrep -i "POST / | GET / | Priimančioji:"Tu taip pat gali Ištraukite HTTP slaptažodžius POST užklausose
$ sudo tcpdump -nn -l | egrep -i "POST / | pwd = | passwd = | slaptažodis = | Pagrindinis kompiuteris:"Serverio arba kliento slapukus galima išgauti naudojant:
$ sudo tcpdump -n | egrep -i 'Nustatyti slapukus | Priimančioji: | Slapukas:'Užfiksuokite DNS užklausas ir atsakymus naudodami:
53 sud. $ sudo tcpdump -i wlp58s0 -s0 prievadasSpausdinkite visus paprasto teksto slaptažodžius:
$ sudo tcpdump port http arba port ftp arba port smtp arba port imap arba port pop3 arba port telnet -l -A | egrep -i -B5 'perduoti = | pwd = | log = | prisijungti = | vartotojas = | vartotojas | vartotojo vardas = | pw = | slaptažodis = | slaptažodis = | slaptažodis = | leidimas: | vartotojas: | vartotojo vardas: | slaptažodis: | prisijungti: | praeiti 'Įprasti „Tcpdump“ filtrai
- -A Rodo paketus ASCII formatu.
- -c Užfiksuojamų paketų skaičius.
- -suskaičiuoti Spausdinti paketų skaičių tik skaitant užfiksuotą failą.
- -e Spausdinkite MAC adresus ir nuorodų lygio antraštes.
- -h arba -pagalba Spausdina versiją ir naudojimo informaciją.
- -versija Rodyti tik versijos informaciją.
- -i Nurodykite tinklo sąsają, kurioje norite užfiksuoti.
- -K Neleiskite bandymams patikrinti bet kurio paketo kontrolinių sumų. Prideda greitį.
- -m
Nurodykite naudojamą modulį. - -n Nekonvertuokite adresų (t.e., pagrindinio kompiuterio adresai, prievado numeriai ir kt.) vardams.
- -numeris Kiekvienos eilutės pradžioje atspausdinkite pasirinktinį paketo numerį.
- -p Uždrausti sąsajai pereiti į nesąžiningą režimą.
- -Klausimas Pasirinkite paketų, kuriuos norite užfiksuoti, kryptį. Siųsti arba gauti.
- -q Tylus / greitas išvestis. Spausdina mažiau informacijos. Rezultatai yra trumpesni.
- -r
Naudojamas paketams skaityti iš „Pcap“ . - -t Negalima atspausdinti laiko žymės kiekvienoje išmetimo eilutėje.
- -v Išspausdina daugiau informacijos apie išvestį.
- -w
Parašykite neapdorotus paketus į failą. - -x Spausdina ASCII išvestį.
- -X Spausdina ASCII su šešiakampiu.
- -sąrašas-sąsajos Parodo visas prieinamas tinklo sąsajas, kuriose paketus gali užfiksuoti tcpdump.
Nutraukimas
„Tcpdump“ buvo labai plačiai naudojama priemonė, naudojama saugumo ir tinklų tyrimams ir taikymams. Vienintelis trūkumas „tcpdump“ neturi „GUI“, tačiau jis yra per geras, kad būtų išvengta aukščiausių diagramų. Kaip rašo Danielis Miessleris, „Tokie protokolų analizatoriai, kaip„ Wireshark “, yra puikūs, tačiau jei norite iš tikrųjų įvaldyti„ packet-fu “, pirmiausia turite tapti vienu su„ tcpdump “.“