TCPDUMP: памятака и типовые примеры за 5 минут

TCPDUMP — утилита UNIX/LINUX, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.Это то что мы узнали из ВИКИ. Дэ факто это уже стандартный инструмент в работе как телефонистов так и админов. Обычно им пишем дамп, а анализируем уже в шарке, хотя иногда и смотрим сразу в нем, не записывая в файл.


tcpdump -i any host [ip-addr] -s0 -C 200 -vvv -w /home/user/dump/primer.cap
tcpdump -i any host [ip-addr-1] or host [ip-addr-2] -vvv -s0 -n -w /home/..
tcpdump -i any host [ip-addr-1] or host [ip-addr-2] and port 5060 -s0 -v -w /home/..
tcpdump -i any 'host [ip-addr]' -s0 -vvv -n -C100 -Z root -w /home/..
tcpdump -i any host [ip-addr] -s0 -v 
tcpdump -i any host [ip-addr] -s0 -v -w /home/


-i any - указываем интерфейс, обычно сразу со всех

host [ip-addr] - от кого прилетает, обычно ip клиента

-s0 - количество байт в пакете(наш вариант полгостью записать пакет)

-vvv - подробный вывод, с -v - может не весь пакет захватить,видно будет
         как: '5555555555555'

-w /home/user/... - куда записывать дамп

-C 200 закончить запись дампа когда размер достигнет заданного

-c 100 - закончить запись дампа после перехвата n-ого количества пакетов

-n - не отображать доменные имена

-Z [root] - от какого пользователя производить запись

port 5060 - с какой порт смотреть

net 192.168.10.0/24 - ожидать пакетов с подсети

-XX - отобразить содержимое в формате HEX и ASCII, никогда не
        пользовался, но выглядит красиво