Как использовать tcpdump для анализа сетевого трафика?

Для использования tcpdump для анализа сетевого трафика необходимо запустить программу с правами пользователя root (tcpdump должен иметь полный доступ к сетевым интерфейсам). xakep.ru

Некоторые шаги использования:

1. Определение пула интерфейсов. serverspace.ru Для перехвата трафика с конкретного интерфейса нужно указать опцию -i, например: sudo tcpdump -i enp0s5. serverspace.ru
2. Указание файла для записи. serverspace.ru Опцией -w можно задать файл, в который будет сохраняться собранная информация. www.k-max.name
3. Использование фильтров для поиска конкретного соединения. serverspace.ru Например, port (фильтрация по порту), host (фильтрация по IP-адресу или имени хоста), src (фильтрация по исходному адресу), dst (фильтрация по целевому адресу). serverspace.ru Все эти фильтры должны быть связаны операторами: AND, OR, NOT. serverspace.ru
4. Просмотр записанного трафика. serverspace.ru На этой же машине его можно открыть через команду: tcpdump -r /путь-к-файлу. serverspace.ru Затем файл можно открыть через Wireshark, передав его на основное устройство. serverspace.ru

Также для получения дополнительных сведений о пакете можно использовать флаг -v, тогда после IP в скобках появится подробная информация об IP-пакете. xakep.ru