Назначение утилиты Синтаксис утилиты Опции утилиты Фильтры утилиты Примеры использования утилиты
Окружение
tcpdump – инструмент командной строки для анализа пакетов, который позволяет перехватывать сетевые пакеты на основе правил фильтрации, интерпретировать содержимое пакетов и отображать результат в удобочитаемом формате. По умолчанию утилита предустановлена в РЕД ОС.
Однако если по каким-либо причинам утилита отсутствует в системе, перейдите в сеанс пользователя root:
su -
и установите ее командой:
dnf install tcpdump
Для работы с утилитой необходимы права суперпользователя root или администратора системы (sudo), поэтому здесь и далее команды выполняются с правами суперпользователя root, если не указано иное.
Утилита tcpdump помогает:
диагностировать потерю пакетов;
проверять производительность приложений;
проверять маршрутизацию трафика в многосетевой среде;
отслеживать теги VLAN;
прослушивать трафик.
По умолчанию tcpdump прослушивает сетевой интерфейс с наименьшим номером в списке, поэтому сначала необходимо определить, какой интерфейс будет прослушиваться.
Синтаксис команды tcpdump имеет следующий вид:
tcpdump [-опции] [фильтры]
Для отображения списка сетевых интерфейсов, используемых в системе, выполните команду:
tcpdump -D
Для прослушивания конкретного сетевого интерфейса необходимо использовать опцию -i с именем интерфейса, передаваемого в качестве параметра. Например, для интерфейса под номером 2 команда будет иметь следующий вид:
tcpdump -i enp0s20f0u1
Если необходимо захватить трафик со всех сетевых интерфейсов, например, если в системе несколько сетевых подключений, в tcpdump для таких случаев предусмотрен специальный параметр any:
tcpdump -i any
Описание некоторых опций tcpdump:
Описанные опции помогают отфильтровывать информативность пакетов, перенаправлять вывод в файл или прочитать уже записанный файл и т.д. Для получения более подробной информации по всем доступным опциям утилиты tcpdump можно воспользоваться командой:
man tcpdump
Для упрощения поиска пакетов и экономии времени в tcpdump предусмотрены фильтры. Они используются для отсеивания ненужных пакетов. Таким образом можно вывести список пакетов, полученных от какого-либо конкретного IP-адреса или подсети.
Описание фильтров для tcpdump:
host, net, port – для фильтрации по значению соответствующего идентификатора;
src, dst – для фильтрации по конкретному направлению передачи к и/или от идентификатора;
tcp, udp, icmp, ah – для фильтрации по заданному сетевому протоколу.
Для просмотра исходящего и входящего трафика по IP-адресу выполните команду с фильтром host и соответствующим аргументом:
tcpdump host 192.168.1.1
Для обнаружения пакетов, следующих из определенной сети либо в нее, используйте команду с фильтром net:
tcpdump net 192.168.1.0/24
Для захвата трафика, который поступает только на определенный порт, выполните команду с фильтром port и номером соответствующего порта в качестве аргумента:
tcpdump port 22
Для отсеивания трафика по отправителю с помощью фильтра src, выполните команду:
tcpdump src 192.168.1.1
Для отображения входящего трафика с IP-адреса выполните команду:
tcpdump dst 192.168.1.1
Для поиска конкретного типа трафика используются фильтры tcp, udp, icmp. Например, фильтр icmp поможет вывести на экран весь трафик, передаваемый по протоколу ICMP:
tcpdump icmp
Дата последнего изменения: 09.09.2024
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Нажимая «Отправить запрос», вы соглашаетесь с условиями обработки персональных данных.
Вы будете получать только актуальную информацию по обновлению безопасности
Подписываясь на уведомления, вы соглашаетесь с условиями обработки персональных данных.
На ваш почтовый адрес отправлено письмо с подтверждением подписки.