Parametri
Tcpdump può essere usato con i seguenti parametri:
-
-i : ascolta solo su un'interfaccia (es:-i eth0) o tutte (es: -i any)
-
-n : non risolve i nomi.
-
-nn : non risolve sia nomi che porte.
-
-X : mostra il contenuto dei pacchetti sia in esadecimale che in ASCII
-
-v, -vv, -vvv : incrementa il numero delle infomazioni.
-
-c : mostra solo un certo numero di pacchetti (es: -c 10).
-
-S : stampa la sequenza di numeri assoluti
-
-e : ottiene l'header.
-
-q : mostra poche informazioni sul protocollo.
-
-w nomefile: salva l'output in un file. Utile per poter essere analizzato successivamente. Aperto con wireshark, per esempio, può fornire informazioni più dettagliate e comprensibili
Le opzioni che non necessitano di un parametro possono essere raggruppate. Per fare un esempio:
tcpdump -i eth0 -nnXvvSeq -c 10
Filtri
Possono essere eseguiti anche filtri in modo da visualizzare solo quello di cui abbiamo bisogno.
- host // mostra solo il traffico di un certo IP (funziona anche con un nome host ma non bisogna usare l'opzione -n)
tcpdump host 1.2.3.4
- src, dst // mostra solo il traffico della sorgente o della destinazione
tcpdump src 2.3.4.5
tcpdump dst 3.4.5.6
- net // mostra il traffico di un'intera rete
tcpdump net 1.2.3.0/24
- proto // funziona solo per tcp, udp e icmp.
tcpdump icmp
- port // mostra solo il traffico di una certa porta
tcpdump port 3389
- src, dst port // filter based on the source or destination port
tcpdump src port 1025
tcpdump dst port 3389
Filtri creativi
Una della potenzialità di tcpdump è la possibilità di combinare i filtri con AND, OR o NOT. Ad esempio:
Tutto il traffico del protocollo tcp originato da 10.5.2.3 destinato alla porta 3389
tcpdump -nnvvS tcp and src 10.5.2.3 and dst port 3389
Tutto il traffico originato dai due IP che non abbia come destinazione la porta 22
tcpdump -vv src 10.10.10.1 or 10.10.10.2 and not dst port 22
Commenti offerti da CComment