Главная | Контакты | Настройки

СМЕНИТЬ ПАЛИТРУ:

Краткий MAN по tcpdump

-i
Указывает на то, какой сетевой интерфейс будет использоваться для захвата пакетов. По-умолчанию - eth0, но если отсутствует локальная сеть, то можно воспользоваться интерфейсом обратной связи lo.

-e
Отображает данные канального уровня (mac-адрес, протокол, длина пакета). Вместо ip-адресов будут отображаться mac-адреса компьютеров.

-w (w - в нижнем регистре)

Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку.

-r

Этот параметр позволяет tcpdump прочесть трафик из файла, если он был предварительно сохранен параметром -w

-x (x - в нижнем регистре)

Делает распечатку пакета в шестнадцатеричной системе, полезно для более детального анализа пакета. Количество отображаемых данных зависит от опции -s

-xx (x - в нижнем регистре)

Тоже, что и предыдущий параметр, но включает в себя заголовок канального уровня

-X (x - в верхнем регистре)

Выводит пакет в ASCII- и hex-формате. Полезно в случае анализа  инцидента связанного со взломом, так как позволяет просмотреть какая текстовая информация передавалась во время соединения.

-XX(XX - в верхнем регистре)

Тоже, что и предыдущий параметр, но включает заголовок канального уровня.

-s число (s - в нижнем регистре)

Количество байтов пакета, которые будет обрабатывать tcpdump. При  установке большого числа отображаемых байтов информация может не уместиться на экране и ее будет трудно изучать. В зависимости от того, какие цели вы преследуете, и следует выбирать значение этого параметра. По умолчанию tcpdump сохраняет первые 68 байт, однако, если вы хотите увидеть содержимое всего пакета, используйте значение в 1500 байт (максимально допустимый размер пакета в сети Ethernet).

-S (s - в верхнем регистре)

Позволяет не обрабатывать абсолютные порядковые номера ( initial sequence number - ISN) в относительные.

-n

Отображает ip-адрес вместо имени хоста.

-a

Преобразовывает сетевые и широковещательные адреса в доменные имена.

-с число

tcpdump завершит работу после получения указанного числа пакетов.

-nn

Отображает номер порта вместо используемого им протокола.

-N

Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит 'net' вместо 'net.library.org'

-p

Не переводит интерфейс в беспорядочный (promiscuous)режим.

-q

Выводит минимум информации. Обычно это имя протокола, откуда и куда шел пакет, порты и  количество переданных данных.

-t

Не отображает метку времени в каждой строке.

-tt

Отображает неформатированную метку времени в каждой строке.

-tttt

Показывает время вместе с датой.

-Tтип

Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb.

-v

Вывод подробной информации (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных  сумм IP и ICMP-заголовков)

-vv

Вывод еще более полной информации, в основном касается NFS и SMB.

-vvv

Вывод максимально подробной информации.

-l

Использовать стандартный потоковый вывод tcpdump (stdout), например для записи в файл:


shell# tcpdump -l | tee out.log //отобразит работу tcpdump и сохранит результат в файле out.log


-F файл

Использовать фильтр, находящийся в файле. Если вы используете этот параметр, фильтр из командной строки будет игнорироваться.