Cheat Sheet tcpdump
Všechny tabulky uvedené v PDF a JPG cheat sheetu jsou také uvedeny v tabulky níže které lze snadno kopírovat a vkládat.
Cheat sheet tcpdump obsahuje:
- Instalační příkazy
- Možnosti zachytávání paketů
- Logické operátory
- Možnosti zobrazení/výstupu
- Protokoly
- Společné příkazy s protokoly pro filtrování záchytů
Viz také: 10 nejlepších Paketových analyzátorů
Zobrazit nebo stáhnout Cheat Sheet JPG obrázek
Kliknutím pravým tlačítkem na obrázek níže uložíte soubor JPG (2500 šířka x 1803 výška v pixelech), popř. kliknutím sem jej otevřete na nové kartě prohlížeče . Jakmile se obrázek otevře v novém okně, možná budete muset kliknout na obrázek, abyste jej přiblížili a zobrazili JPG v plné velikosti.
Prohlédněte si nebo stáhněte soubor PDF s cheatem
Můžete si stáhnout PDF soubor zde . Když se otevře na nové kartě prohlížeče, jednoduše klikněte pravým tlačítkem na soubor PDF a přejděte na výběr stahování/uložení, který se obvykle nachází v pravém horním rohu obrazovky.
Související příspěvek: Co je tcpdump?
Co je zahrnuto v cheat sheetu
Následující kategorie a položky byly zahrnuty do cheat sheet:
Instalační příkazy
CENT OS a REDHAT | $ sudo yum nainstalovat tcpdump |
Fedora | $ dnf nainstalovat tcpdump |
Ubuntu, Debian a Linux Mint | #apt-get nainstalovat tcpdump |
Možnosti zachytávání paketů
Přepínač | Syntax | Popis |
-já jakýkoliv | tcpdump -i libovolný | Zachyťte ze všech rozhraní |
-v eth0 | tcpdump -i eth0 | Zachytávání ze specifického rozhraní (Ex Eth0) |
-C | tcpdump -i eth0 -c 10 | Zachyťte prvních 10 paketů a odejděte |
-D | tcpdump -D | Zobrazit dostupná rozhraní |
-A | tcpdump -i eth0 -A | Tisk v ASCII |
-v | tcpdump -i eth0 -w tcpdump.txt | Chcete-li uložit zachycený soubor do souboru |
-r | tcpdump -r tcpdump.txt | Čtěte a analyzujte uložený soubor zachycení |
-n | tcpdump -n -I eth0 | Nepřekládejte názvy hostitelů |
-nn | tcpdump -n -i eth0 | Zastavit překlad názvů domén a vyhledávání (názvy hostitelů nebo názvy portů) |
TCP | tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp | Zachycujte pouze pakety TCP |
přístav | tcpdump -i eth0 port 80 | Zachyťte provoz pouze z definovaného portu |
hostitel | hostitel tcpdump 192.168.1.100 | Zachyťte pakety z konkrétního hostitele |
síť | tcpdump net 10.1.1.0/16 | Zachyťte soubory ze síťové podsítě |
src | tcpdump src 10.1.1.100 | Zachyťte z konkrétní zdrojové adresy |
dst | tcpdump dst 10.1.1.100 | Zachyťte z konkrétní cílové adresy |
| tcpdump http | Filtrujte provoz na základě čísla portu pro službu |
| tcpdump port 80 | Filtrujte provoz na základě služby |
rozsah portů | tcpdump portrange 21-125 | Filtr na základě rozsahu portů |
-S | tcpdump -S http | Zobrazit celý paket |
ipv6 | tcpdunp -IPV6 | Zobrazit pouze pakety IPV6 |
-d | tcpdump -d tcpdump.pcap | zobrazit lidsky čitelnou formu ve standardním výstupu |
-F | tcpdump -F tcpdump.pcap | Použijte daný soubor jako vstup pro filtr |
-Já | tcpdump -I eth0 | nastavit rozhraní jako režim monitoru |
-L | tcpdump -L | Zobrazit typy datových spojů pro rozhraní |
-N | tcpdump -N tcpdump.pcap | netisknout doménová jména |
-K | tcpdump -K tcpdump.pcap | Neověřujte kontrolní součet |
-p | tcpdump -p -i eth0 | Nesnímání v promiskuitním režimu |
Logické operátory
Operátor | Syntax | Příklad | Popis |
A | a, && | tcpdump -n src 192.168.1.1 a dst port 21 | Kombinujte možnosti filtrování |
NEBO | nebo || | tcpdump dst 10.1.1.1 && !icmp | Každá z podmínek se může shodovat |
AŽ NA | ne,! | tcpdump dst 10.1.1.1 a ne icmp | Negace podmínky |
MÉNĚ | < | tcpdump<32 | Zobrazuje velikost paketů menší než 32 |
VĚTŠÍ | > | tcpdump >=32 | Zobrazuje velikost paketů větší než 32 |
Možnosti zobrazení/výstupu
Přepínač | Popis |
-q | Docela a méně podrobný režim zobrazuje méně detailů |
-t | Netiskněte podrobnosti časového razítka ve výpisu |
-v | Malý podrobný výstup |
-vv | Podrobnější výstup |
-turistická kancelář | Nejpodrobnější výstup |
-X | Tisk dat a záhlaví v HEX formátu |
-xx | Tisk dat s hlavičkami odkazů v HEX formátu |
-X | Tiskový výstup ve formátu HEX a ASCIIvyjmazáhlaví odkazů |
-XX | Tiskový výstup ve formátu HEX a ASCIIpočítaje v tozáhlaví odkazů |
-a | Print Link (Ethernet) záhlaví |
-S | Tisk pořadových čísel v přesném formátu |
Protokoly
Ether, fddi, icmp, ip, ip6, ppp, rádio, rarp, slip, tcp, udp, wlan |
Společné příkazy s protokoly pro filtrování záchytů
src/dsthost (název hostitele nebo IP) | Filtrujte podle zdrojové nebo cílové IP adresy nebo hostitele |
ether src/dst host (název hostitele sítě Ethernet nebo IP adresa) | Filtrování hostitele Ethernetu podle zdroje nebo cíle |
src/ dstnet (maska podsítě v CIDR) | Filtrovat podle podsítě |
tcp/udp src/dst port (číslo portu) | Filtrujte pakety TCP nebo UDP podle zdrojového nebo cílového portu |
rozsah portů tcp/udp src/dst (rozsah čísel portů) | Filtrujte pakety TCP nebo UDP podle rozsahu zdrojového nebo cílového portu |
ether/ip vysílání | Filtr pro Ethernet nebo IP vysílání |
ether/ip multicast | Filtr pro Ethernet nebo IP multicast |
Časté dotazy k tcpdump
Jak filtrujete MAC adresy pomocí tcpdump?
Použijte hostitel možnost v příkazu tcpdump pro omezení výstupu na konkrétní MAC adresu: tcpdump ether host aa:bb:cc:11:22:33
Jak mohu použít tcpdump na konkrétním portu?
Použijte přístav volba v příkazu tcpdump k určení portu: tcpdump ether port 80
Jak čtete výstup tcpdump?
Na tcpdump je možnost čtení, kterou představuje přepínač -r jako v: tcpdump -r cesta_a_název_souboru