tcpdump
基本構文:
sudo tcpdump
特定のインターフェース: sudo tcpdump -i eth0
出力をファイル保存: sudo tcpdump -w capture.pcap
保存ファイルを読む: tcpdump -r capture.pcap
フィルタリング:
IP指定: host 192.168.1.10
ポート指定: port 80
TCPのみ: tcp
UDPのみ: udp
表示制御:
ASCII表示: -A
HEX+ASCII表示: -X
件数制限: -c 10
$ ip -a
$ sudo tcpdump -i eth0 -c 10
$ sudo tcpdump port 80 -A -c 10
確認用
Q. tcpdump コマンドは何のためのツールか?
Q. eth0 のパケットだけをキャプチャしたい
A. sudo tcpdump -i eth0
Q. ダンプの出力を.pcap に保存したい
A. sudo tcpdump -w capture.pcap
Q. ダンプの出力を.pcap を読みたい
A. tcpdump -r capture.pcap
Q. 192.168.1.10 の通信をキャプチャしたい
A. sudo tcpdump host 192.168.1.10
Q. ポート80の通信をキャプチャしたい
A. sudo tcpdump port 80
Q. TCPだけをキャプチャしたい
A. sudo tcpdump tcp
Q. UDPだけをキャプチャしたい
A. sudo tcpdump udp
Q. 出力を10件だけキャプチャしたい
A. sudo tcpdump -c 10
Q. ASCII表示にしたい
A. -A
Q. HTTPパケットをASCIIで10件キャプチャしたい
A. sudo tcpdump port 80 -A -c 10
参考
関連