tcpdump Cheat Sheet

CENT OS и REDHAT

$ sudo yum инсталирайте tcpdump

Fedora

$ dnf инсталирайте tcpdump

Ubuntu, Debian и Linux Mint

#apt-get инсталирайте tcpdump

Превключване

Синтаксис

Описание

- аз всякакви

tcpdump -i произволен

Заснемане от всички интерфейси

-в eth0

tcpdump -i eth0

Заснемане от специфичен интерфейс (Ex Eth0)

-° С

tcpdump -i eth0 -c 10

Уловете първите 10 пакета и излезте

-Д

tcpdump -D

Показване на наличните интерфейси

-А

tcpdump -i eth0 -A

Печат в ASCII

-във

tcpdump -i eth0 -w tcpdump.txt

За да запазите заснемането във файл

-р

tcpdump -r tcpdump.txt

Прочетете и анализирайте записания файл за заснемане

-н

tcpdump -n -I eth0

Не разрешавайте имена на хостове

-nn

tcpdump -n -i eth0

Спрете превода и търсенето на имена на домейни (имена на хостове или имена на портове)

tcp

tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp

Улавяне само на TCP пакети

порт

tcpdump -i eth0 порт 80

Уловете трафик само от определен порт

домакин

tcpdump хост 192.168.1.100

Улавяне на пакети от определен хост

нето

tcpdump net 10.1.1.0/16

Заснемане на файлове от мрежова подмрежа

src

tcpdump src 10.1.1.100

Заснемане от конкретен адрес на източник

dst

tcpdump dst 10.1.1.100

Заснемане от конкретен целеви адрес

tcpdump http

Филтриране на трафик въз основа на номер на порт за услуга

tcpdump порт 80

Филтрирайте трафика въз основа на услуга

обхват на порта

tcpdump portrange 21-125

Филтрирайте въз основа на диапазона на портовете

-С

tcpdump -S http

Показване на целия пакет

ipv6

tcpdunp -IPV6

Показване само на IPV6 пакети

-д

tcpdump -d tcpdump.pcap

показване на четима от човека форма в стандартен изход

-Ф

tcpdump -F tcpdump.pcap

Използвайте дадения файл като вход за филтър

-Аз

tcpdump -I eth0

задайте интерфейс като режим на монитор

-Л

tcpdump -L

Показване на типове връзки за данни за интерфейса

-Н

tcpdump -N tcpdump.pcap

не отпечатване на имена на домейни

-К

tcpdump -K tcpdump.pcap

Не проверявайте контролната сума

-стр

tcpdump -p -i eth0

Не се заснема в безразборен режим

Оператор

Синтаксис

Пример

Описание

И

и, &&

tcpdump -n src 192.168.1.1 и dst порт 21

Комбинирайте опциите за филтриране

ИЛИ

или ||

tcpdump dst 10.1.1.1 && !icmp

Всяко едно от условията може да съвпада

С ИЗКЛЮЧЕНИЕ

не, !

tcpdump dst 10.1.1.1, а не icmp

Отрицание на условието

ПО-МАЛКО

<

tcpdump<32

Показва размер на пакетите под 32

ПО-ГОЛЯМА

>

tcpdump >=32

Показва размер на пакетите над 32

Превключване

Описание

-q

Тихият и по-малко подробен режим показва по-малко подробности

-T

Не отпечатвайте подробности за времевия печат в дъмп

-във

Малко многословен изход

-vv

По-подробен изход

-туристически офис

Най-многословен изход

-х

Отпечатайте данни и заглавки в HEX формат

-хх

Отпечатайте данни със заглавки на връзки в HEX формат

-Х

Изход за печат в HEX и ASCII форматкато изключимзаглавки на връзки

-XX

Изход за печат в HEX и ASCII форматвключителнозаглавки на връзки

-и

Заглавки за връзка за печат (Ethernet).

-С

Отпечатайте поредните номера в точен формат

Ether, fddi, icmp, ip, ip6, ppp, radio, rarp, slip, tcp, udp, wlan

src/ dsthost (име на хост или IP)

Филтрирайте по IP адрес на източник или местоназначение или хост

ether src/ dst хост (ethernet хост име или IP)

Ethernet хост филтриране по източник или дестинация

src/ dstnet (маска на подмрежа в CIDR)

Филтриране по подмрежа

tcp/udp src/dst порт (номер на порт)

Филтрирайте TCP или UDP пакети по порт източник или дестинация

tcp/udp src/dst обхват на портове (обхват на номера на портове)

Филтрирайте TCP или UDP пакети по обхват на порта източник или дестинация

ether/ip излъчване

Филтър за Ethernet или IP излъчвания

ether/ip мултикаст

Филтър за Ethernet или IP мултикастове