1. Введение
Если описать tcpdump простыми словами, то это: дамп трафика в сети, инструмент анализа пакетов, который перехватывает пакеты данных в сети в соответствии с определением пользователя. tcpdump может полностью перехватывать «заголовки» пакетов данных, передаваемых по сети, и проводить анализ. Он поддерживает фильтрацию по сетевому уровню, протоколу, хосту, сети или порту и предоставляет логические операторы, такие как и или нет, чтобы помочь вам удалить ненужную информацию.
Еще проще: перехватить поток данных, передаваемый на сетевую карту.
Еще проще: перехватывать пакеты.
2 tcpdump и Wireshark
Wireshark (ранее Ethereal) — очень простой и удобный в использовании инструмент для перехвата пакетов под Windows. Но под Linux сложно найти полезный графический инструмент для захвата пакетов.
К счастью, у нас все еще есть tcpdump. Для этого мы можем использовать идеальную комбинацию tcpdump + Wireshark: захватывать пакеты в Linux, а затем анализировать пакеты данных в Windows.
3 Используйте команду
tcpdump tcp -i eth1 -t -s 0 -c 100 и порт dst! 22 и сеть источника 192.168.1.0/24 -w ./target.cap
(1) tcp: ip icmp arp rarp и tcp, udp, icmp и другие параметры должны быть помещены в первый параметр для фильтрации типа датаграмм.
(2)-i eth1: захватывать только пакеты, проходящие через интерфейс eth1.
(3)-t: не отображать временную метку
(4)-s 0: длина захвата по умолчанию при захвате пакетов данных составляет 68 байт. После добавления -S 0 вы можете захватить полный пакет данных.
(5)-c 100: захватывать только 100 пакетов.
(6)dst port !22: не перехватывать пакеты данных с целевого порта 22.
(7)src net 192.168.1.0/24: исходный сетевой адрес пакета данных — 192.168.1.0/24.
(8)-w ./target.cap: сохраните его как файл cap для удобного анализа с помощью ethereal (т. е. Wireshark).