Использование tcpdump для снятия дампа трафика

Tcpdump — утилита UNIX, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа. Для выполнения программы требуется наличие прав суперпользователя.

~$ tcpdump host 8.8.8.8
tcpdump: no suitable device found
~$ sudo tcpdump host 8.8.8.8
[sudo] password for <user>: 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

Tcpdump по сути консольный Wireshark. Дампы tcpdump, кстати, читаются легко Wireshark, что делает его очень полезной утилитой.

При передаче файлов с дампами по сети, всегда нужно учитывать, что Wireshark/tcpdump не ужимают дампы, а после сжатия обычным zip/rar файл может весить в 40 раз меньше (400мб -> 10мб).

 

Опции

-w <file> – сохраняем дамп в файл, вместо вывода на экран

-i <if> – указываем интерфейс

host <ip>– указываем чтобы в содержимом был IP (DST/SRC)

 

Usage

sudo tcpdump -i eth0 -w test.pcap host 8.8.8.8

Leave a Reply