tcpdump
基本構文:
sudo tcpdump
特定のインターフェース: sudo tcpdump -i eth0
出力をファイル保存: sudo tcpdump -w capture.pcap
保存ファイルを読む: tcpdump -r capture.pcap
フィルタリング:
IP指定: host 192.168.1.10
ポート指定: port 80
TCPのみ: tcp
UDPのみ: udp
表示制御:
ASCII表示: -A
HEX+ASCII表示: -X
件数制限: -c 10
$ ip -a
$ sudo tcpdump -i eth0 -c 10
$ sudo tcpdump port 80 -A -c 10
$ tcpdump -d -i lo src 127.0.0.1 and port 80
code:memo
(005) jeq #0x84 jt 8 jf 6 (007) jeq #0x11 jt 8 jf 16 (012) jeq #0x50 jt 15 jf 13 (014) jeq #0x50 jt 15 jf 16 確認用
Q. tcpdump コマンドは何のためのツールか?
Q. eth0 のパケットだけをキャプチャしたい
A. sudo tcpdump -i eth0
Q. ダンプの出力を.pcap に保存したい
A. sudo tcpdump -w capture.pcap
Q. ダンプの出力を.pcap を読みたい
A. tcpdump -r capture.pcap
Q. 192.168.1.10 の通信をキャプチャしたい
A. sudo tcpdump host 192.168.1.10
Q. ポート80の通信をキャプチャしたい
A. sudo tcpdump port 80
Q. TCPだけをキャプチャしたい
A. sudo tcpdump tcp
Q. UDPだけをキャプチャしたい
A. sudo tcpdump udp
Q. 出力を10件だけキャプチャしたい
A. sudo tcpdump -c 10
Q. ASCII表示にしたい
A. -A
Q. HTTPパケットをASCIIで10件キャプチャしたい
A. sudo tcpdump port 80 -A -c 10
参考
関連