tcpdump は、ネットワークインターフェイスでパケットを傍受して表示するために使用できる強力なネットワークデバッグツールです。 tcpdumpの重要な機能 表示したいパケットのみを表示できるようにするフィルターです。
tcpdumpをインストール
この例ではUbuntu®18.04を使用していますが、インストール手順は他のLinux®ディストリビューションと同様です。次のコマンドを使用して、tcpdumpをインストールします Ubuntuオペレーティングシステムを実行しているサーバーの場合:
sudo apt-get install tcpdump
tcpdumpを使用
sudo tcpdump [options] [filter expression]
デフォルトでは、tcpdump eth0でパケットをキャプチャします 。別のインターフェースを指定するには、-iを使用します コマンドラインフラグ。次のコマンドは、eth1上のすべてのパケットをキャプチャします インターフェース:
sudo tcpdump -i eth1
次のコマンドを使用して、すべてのUDP接続をリッスンします。
sudo tcpdump udp
次のコマンドを使用して、特定のポートのパケットをキャプチャします。
sudo tcpdump port 80
上記のコマンドは、ポート80を持つすべてのパケットを返します 宛先または送信元ポートとして。
より具体的に、宛先ポート80のパケットのみをキャプチャするとします。クラウドにWebサーバーがある場合は、folloiwngコマンドを使用して着信パケットを確認できます。
sudo tcpdump dst port 80
特定のホストのパケットをキャプチャすることもできます。次のコマンドは、IPアドレス1.2.3.4からのみ送信されるパケットをキャッチします。 :
sudo tcpdump src host 1.2.3.4
tcpdump andなどの論理引数を取ることができます またはor 。 tcpdumpで論理ステートメントを使用できます 指図。たとえば、次のコマンドは、SSHサーバーからIPアドレス1.2.3.4のクライアントに送信されるすべてのSecureShell(SSH)パケットをキャッチします。 :
sudo tcpdump "src port 22" and "dst host 1.2.3.4"
-wを使用すると、生のパケットをファイルに簡単に保存できます。 オプション:
tcpdump host 1.2.3.4 -w /home/users/demo/demo.dump
保存したファイルを読み取るには、次のコマンドを使用します。
tcpdump -r /home/users/demo/demo.dump
システム管理者は通常、tcpdumpを使用します 、ネットワークの問題を解決し、トラフィックを調査するための強力なパケットスニファツール。ブール式で使用して、調べたいパケットをキャプチャできます。