Шпаргалка по использованию tcpdump

Обновлено и опубликовано Опубликовано:

Приложение tcpdump позволяет наблюдать за всеми сетевыми запросами, которые приходят на компьютер или исходят от него. Это очень полезная утилита и будет полезно знать основные команды. В данной инструкции мы рассмотрим некоторые примеры по работе с tcpdump в системе на базе Linux.

Установка приложения

По умолчанию, в нашей системе нет tcpdump. Установка в зависимости от дистрибутива Linux выполняется немного по-разному.

а) Для Rocky Linux / CentOS:

yum install tcpdump

б) Для Ubuntu / Debian:

apt install tcpdump

Использование tcpdump

Приложение обладает большими возможностями. Мы рассмотрим те, которые чаще всего применяются.

1. Сетевой интерфейс.

Мы можем ограничить вывод для конкретного сетевого интерфейса с помощью опции i:

tcpdump -i eth0

* в данном примере мы ограничиваем вывод для интерфейса eth0.

2. Указать источник запроса.

С помощью опции src мы можем учитывать запросы, которые пришли с определенного IP-адреса, например:

tcpdump src 94.19.179.142

* в данном примере мы увидим запросы только с адреса 94.19.179.142.

3. Указать назначение.

По аналогии с опцией src, опция dst позволяет ограничить запросы, которые отправляются нашим сервером на конкретный адрес:

tcpdump dst 94.19.179.142

* тут мы увидим только те обращения, которые идут в сторону 94.19.179.142.

4. Указать порт.

Один из наиболее используемых фильтров в tcpdump. Нет смысла видеть другие запросы, если нам нужны только те, которые обращаются к конкретному порту:

tcpdump port 80

* в нашем примере мы увидим только те, которые используют порт 80.

5. Несколько правил.

Мы можем применить несколько фильтром. Для этого мы используем логические операторы and или or, например:

tcpdump src 94.19.179.142 and port not 22

* в данном случае мы увидим все запросы с адреса 94.19.179.142, которые приходят на порт 22.

Возможные ошибки

tcpdump: NFLOG link-layer type filtering not implemented.

Данная ошибка появляется при наличии нескольких сетевых интерфейсов. Чтобы решить проблему, ограничим запросы с помощью опции i:

tcpdump -i ...

# Linux # Сети
Дмитрий Моск — частный мастер
Была ли полезна вам эта инструкция?

Да            Нет