tcpdumpを実行するとイーサネットデバイスはデフォルトでプロミスキャスモードで動作します。(-pを付けるとオフ)
書式: tcpdump [オプション] [条件式]
manページ見てたら色々複雑なexampleが出てきて眠くなってきたので適当に例を挙げてみます。
10.0.0.1のtcp通信を監視
# tcpdump -n host 10.0.0.1 and proto tcp
10.0.0.1からのtcp通信を監視
# tcpdump -n src 10.0.0.1 and proto tcp
10.0.0.1へのtcp通信を監視
# tcpdump -n dst 10.0.0.1 and proto tcp
10.0.0.0/8ネットワークのarpパケットを監視
# tcpdump -n net 10.0.0.0/8 proto arp
ホスト10.0.0.1が21ポートでやり取りしてるパケットをASCIIで表示
# tcpdump -n -s 0 -A -i eth1 host 10.0.0.1 and port 21
10.0.0.1へSYNパケットを送っているホストを表示
# tcpdump -n dst 10.0.0.1 and 'tcp[tcpflags] = tcp-syn'
10.0.0.0/8ネットワークのエコーリプレイを監視
# tcpdump -n net 10.0.0.0/8 and 'icmp[icmptype] = icmp-echoreply'
書式: tcpdump [オプション] [条件式]
- オプション
- -i インターフェイスを指定
-s パケットから取り出すバイト数を指定 0=無制限
-X 16進数とASCII文字で表示
-A ASCII文字で表示
-n 名前解決しない
-N ホストのドメイン名を表示しない
-l 標準出力をバッファリングする
-w キャプチャファイルの書き出し
-r キャプチャファイルの読み込み
-t 時刻を表示しない
-v(vv) 詳細表示する
-G パケットの書き出しを指定した時間でローテーションする
-W -Gで指定したローテーション回数で終了させる - 条件式
- dst 宛先アドレスを指定
src ソースアドレスを指定
host ホストを指定
net ネットワークを指定
port ポートを指定
proto プロトコルを指定
and 条件式の区切り文字
manページ見てたら色々複雑なexampleが出てきて眠くなってきたので適当に例を挙げてみます。
10.0.0.1のtcp通信を監視
# tcpdump -n host 10.0.0.1 and proto tcp
10.0.0.1からのtcp通信を監視
# tcpdump -n src 10.0.0.1 and proto tcp
10.0.0.1へのtcp通信を監視
# tcpdump -n dst 10.0.0.1 and proto tcp
10.0.0.0/8ネットワークのarpパケットを監視
# tcpdump -n net 10.0.0.0/8 proto arp
ホスト10.0.0.1が21ポートでやり取りしてるパケットをASCIIで表示
# tcpdump -n -s 0 -A -i eth1 host 10.0.0.1 and port 21
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:02:09.281897 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [S.], seq 3469942953, ack 989699304, win 8190, options [mss 1360,nop,wscale 4,nop,nop,sackOK], length 0
E..4..@...R'....
......... .:..............P........
17:02:09.401418 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [P.], seq 1:28, ack 1, win 8240, length 27
E..C..@.r..'....
......... .:...P. 0....220 Microsoft FTP Service
17:02:10.286198 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [P.], seq 28:100, ack 11, win 8240, length 72
E..p.E@.r.......
......... .:...P. 0....331 Anonymous access allowed, send identity (e-mail name) as password.
17:02:15.921573 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [P.], seq 100:182, ack 21, win 8240, length 82
E..z..@.r.......
:...P. 0....230-Welcome to FTP.MICROSOFT.COM. Also visit http://www.microsoft.com/downloads.
17:02:15.922949 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [P.], seq 182:203, ack 21, win 8240, length 21
E..=..@.r..Q....
.........!_:...P. 0B...230 User logged in.
17:02:20.344892 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [P.], seq 203:248, ack 27, win 8240, length 45
E..U&}@.r.......
.........!t:...P. 0....221 Thank you for using Microsoft products.
17:02:20.345801 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [F.], seq 248, ack 27, win 8240, length 0
E..(&~@.r.......
.........!.:...P. 0[.....%h..
17:02:20.475132 IP 134.170.188.232.21 > 10.0.0.1.7559: Flags [.], ack 28, win 8240, length 0
E..(&.@.r.......
.........!.:...P. 0[.....+...
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
10.0.0.1へSYNパケットを送っているホストを表示
# tcpdump -n dst 10.0.0.1 and 'tcp[tcpflags] = tcp-syn'
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:34:19.996527 IP 203.188.67.246.5112 > 10.0.0.1.7757: Flags [S], seq 2396737165, win 65535, options [mss 1386,nop,wscale 4,nop,nop,TS val 154254004 ecr 0,sackOK,eol], length 0
17:35:15.869988 IP 58.81.201.106.62669 > 10.0.0.1.7757: Flags [S], seq 959934683, win 8192, options [mss 1414,nop,wscale 2,nop,nop,sackOK], length 0
17:35:43.695915 IP 125.212.121.142.15110 > 10.0.0.1.7757: Flags [S], seq 3505270258, win 65535, options [mss 1400,nop,wscale 4,nop,nop,TS val 489136575 ecr 0,sackOK,eol], length 0
17:35:45.302051 IP 125.212.121.142.15116 > 10.0.0.1.7757: Flags [S], seq 417807109, win 65535, options [mss 1400,nop,wscale 4,nop,nop,TS val 489138152 ecr 0,sackOK,eol], length 0
10.0.0.0/8ネットワークのエコーリプレイを監視
# tcpdump -n net 10.0.0.0/8 and 'icmp[icmptype] = icmp-echoreply'
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
17:47:30.912609 IP 10.255.0.1 > 10.0.0.1: ICMP echo reply, id 1, seq 43, length 40
17:47:31.916096 IP 10.255.0.1 > 10.0.0.1: ICMP echo reply, id 1, seq 44, length 40
17:47:32.919104 IP 10.255.0.1 > 10.0.0.1: ICMP echo reply, id 1, seq 45, length 40
17:47:33.922287 IP 10.255.0.1 > 10.0.0.1: ICMP echo reply, id 1, seq 46, length 40
17:47:38.511442 IP 10.0.1.1 > 10.0.0.1: ICMP echo reply, id 1, seq 47, length 40
17:47:39.514149 IP 10.0.1.1 > 10.0.0.1: ICMP echo reply, id 1, seq 48, length 40
17:47:40.517164 IP 10.0.1.1 > 10.0.0.1: ICMP echo reply, id 1, seq 49, length 40
17:47:41.520186 IP 10.0.1.1 > 10.0.0.1: ICMP echo reply, id 1, seq 50, length 40
- 関連記事
-
-
sambaサーバの設定,管理 202
2014/08/30
-
Microsoftネットワークの概念 202
2014/08/30
-
tcpdumpの使い方 201
2014/08/29
-
udevについて 201
2014/08/23
-
fsck 201
2014/08/23
-
