(Lx) Monitorowanie ruchu sieciowego*

Monitorowanie ruchu sieciowego

Podstawowe komendy

Server:/$ sudo tcpdump -i interfejs

Włącza śledzenie ruchu sieciowego na danym porcie:
* host adres-IP – Filtruje dane wyjściowe pod kontem wskazanego adresu IP.
* net adres-IP/prefix – Filtruje dane wyjściowe pod kontem wskazanej sieci.
* port port – Filtruje dane wyjściowe pod kontem wskazanego portu.
* portrange zakres-portów – Filtruje dane wyjściowe pod kontem wskazanych portów [portrange 20-34].
* src {adres-IP / port port} – Filtruje dane wyjściowe pod kontem wskazanego adresu źródłowego lub portu.
* dst {adres-IP / port port} – Filtruje dane wyjściowe pod kontem wskazanego adresu docelowego lub portu.
* protocol – Filtruje dane wyjściowe pod kontem wskazanego protokołu (IP, ICMP, UDP, TCP…).
* {less liczba / greater liczba / <= liczba} – Wyświetla dane mniejsze, równe bądź większe od wskazanej liczby.
* -i {nazwa-interfejsu / any} – Określa śledzony interfejs sieciowy.
* -D – Wyświetla listę dostępnych interfejsów sieciowych.
* -c liczba – Wyświetla określoną ilość pakietów.
* -E klucz – Deszyfruje i wyświetla ruch IPSec z użyciem podanego klucza.
* -q – Zmniejsza ilość wyświetlanych danych.
* -e – Wyświetla docelowe i źródłowe adresy MAC.
* -w plik – Zapisuje dane do wskazanego pliku.
* -r plik – Wyświetla dane zawarte w wskazanym pliku.
* {and / &&} – Łączy pojedyncze komendy w większą całość [tcpdump src port 20 && stc host 192.168.20.1].
* and {not / !} – Nie wyświetla wskazanej zawartości [tcpdump src port 20 && ! icmp].

Przykładowe komendy flirtujące ruch TCP

Server:/$ sudo tcpdump {’tcp[13] & 32!=0′ / 'tcp[tcpflags] == tcp-urg’}

Wyświetla wszystkie pakiety URG.

Server:/$ sudo tcpdump {’tcp[13] & 16!=0’/ 'tcp[tcpflags] == tcp-ack’}

Wyświetla wszystkie pakiety ACK.

Server:/$ sudo tcpdump {’tcp[13] & 4!=0′ / 'tcp[tcpflags] == tcp-rst’}

Wyświetla wszystkie pakiety RST.

Server:/$ sudo tcpdump {’tcp[13] & 2!=0′ / 'tcp[tcpflags] == tcp-syn’}

Wyświetla wszystkie pakiety SYN.

Server:/$ sudo tcpdump {’tcp[13] & 1!=0′ / 'tcp[tcpflags] == tcp-fin’}

Wyświetla wszystkie pakiety FIN.

Server:/$ sudo tcpdump 'tcp[13] & 8!=0′

Wyświetla wszystkie pakiety PSH.

Server:/$ sudo tcpdump 'tcp[13]=18′

Wyświetla wszystkie pakiety SYNACK.

Pozostałe tematy związane z systemem Linux

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz