Использование tcpdump

tcpdump – утилита, позволяющая захватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.

tcpdump предназначен для отладки сетевых приложений, поиска и диагностики неисправностей, возникающих при передаче данных по сети.

Использование tcpdump

Количество параметров у tcpdump очень велико. Далее рассматриваются только основные. Более полную информацию Вы можете получить из соответствующих справочных страниц.

Например, произведем захват всех пакетов, идущих через сетевой интерфейс eth0.

# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:02:58.525893 arp who-has 192.168.0.2 tell 192.168.0.1
12:02:58.547805 IP ws2.local.33251 > ns.local.domain:  48340+ PTR? 1.0.168.192.in-addr.arpa. (43)
12:02:58.548467 IP ns.local.domain > ws2.local.33251:  48340 NXDomain* 0/1/0 (100)
12:02:58.548723 IP ws2.local.33251 > ns.local.domain:  31591+ PTR? 2.0.168.192.in-addr.arpa. (43)
12:02:58.549387 IP ns.local.domain > ws2.local.33251:  31591 NXDomain* 0/1/0 (100)

В полученном выводе мы захватили 1 ARP-пакет и 4 IP-пакета.

Как видно из ниже приведенного примера компьютер с DNS именем ws2.local сделал 2 DNS-запроса к серверу ns.local, который на эти запросы отправил ответы.

Если Вы хотите видеть вместо имен компьютеров их IP-адреса, то добавьте параметр -n:

# tcpdump -i eth0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:02:58.525893 arp who-has 192.168.0.2 tell 192.168.0.1
12:02:58.547805 IP 192.168.0.3.33251 > 192.168.0.1.domain:  48340+ PTR? 1.0.168.192.in-addr.arpa. (43)
12:02:58.548467 IP 192.168.0.1.domain > 192.168.0.3.33251:  48340 NXDomain* 0/1/0 (100)
12:02:58.548723 IP 192.168.0.3.33251 > 192.168.0.1.domain:  31591+ PTR? 2.0.168.192.in-addr.arpa. (43)
12:02:58.549387 IP 192.168.0.1.domain > 192.168.0.3.33251:  31591 NXDomain* 0/1/0 (100)

Если и вместо названий портов Вы хотите видеть их цифровые значения, добавьте параметр -nn:

# tcpdump -i eth0 -nn
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
12:02:58.525893 arp who-has 192.168.0.2 tell 192.168.0.1
12:02:58.547805 IP 192.168.0.3.33251 > 192.168.0.1.53:  48340+ PTR? 1.0.168.192.in-addr.arpa. (43)
12:02:58.548467 IP 192.168.0.1.53 > 192.168.0.3.33251:  48340 NXDomain* 0/1/0 (100)
12:02:58.548723 IP 192.168.0.3.33251 > 192.168.0.1.53:  31591+ PTR? 2.0.168.192.in-addr.arpa. (43)
12:02:58.549387 IP 192.168.0.1.53 > 192.168.0.3.33251:  31591 NXDomain* 0/1/0 (100)

Статьи по Теме

Категории
Поиск