Используем tcpdump для анализа и перехвата сетевого трафика

Утилита tcpdump — отличный инструмент командной, который способен перехватывать и анализировать сетевой трафик. Может оказаться большим подспорьем при решении сетевых проблем. Пакеты можно сохранить в файл и анализировать позже. Рекомендуется время от времени запускать эту утилиту, чтобы следить за своей сетью.

Содержание:

Вывод tcpdump

Установка tcpdump

Опции tcpdump

Фильтры tcpdump:

Фильтр выражений

Фильтр портов

Фильтр хостов

Комбинирование фильтров

Сохранение заголовков в файл

Просмотр сведений о пакете

Вывод

Вывод tcpdump

Утилита tcpdump позволяет проверять заголовки пакетов TCP/IP и выводить одну строку для каждого из пакетов. Она будет делать это до тех пор, пока не нажать Ctrl + C.

Давайте рассмотрим одну строку из примера вывода:

20:58:26.765637 IP 10.0.0.50.80 > 10.0.0.1.53181: Flags [F.], seq 1, ack 2, win 453, options [nop,nop,TS val 3822939 ecr 249100129], length 0

Каждая строка включает:

Метка времени Unix (20: 58: 26.765637)

протокол (IP)

имя или IP-адрес исходного хоста и номер порта (10.0.0.50.80)

имя хоста или IP-адрес назначения и номер порта (10.0.0.1.53181)

Флаги TCP (Flags [F.]). Указывают на состояние соединения и могут содержать более одного значения:

o S — SYN. Первый шаг в установлении соединения

F — FIN. Прекращение соединения

— ACK. Пакет подтверждения принят успешно

P — PUSH. Указывает получателю обрабатывать пакеты вместо их буферизации

R — RST. Связь прервалась

Порядковый номер данных в пакете. (seq 1)

Номер подтверждения. (ack 2)

Размер окна (win 453). Количество байтов, доступных в приемном буфере. Далее следуют параметры TCP

Длина полезной нагрузки данных. (length 0)

Читать дальше →

Источник: Хабрахабр