tcpdump snydeark
Alle tabellerne i PDF og JPG af snydearket er også præsenteret i tabellerne nedenfor som er nemme at kopiere og indsætte.
tcpdump-snydearket dækker:
- Installationskommandoer
- Indstillinger for pakkefangst
- Logiske operatører
- Display/Output muligheder
- Protokoller
- Almindelige kommandoer med protokoller til filtrering af optagelser
Se også: 10 bedste pakkeanalysatorer
Se eller download Cheat Sheet JPG-billedet
Højreklik på billedet nedenfor for at gemme JPG-filen (2500 bredde x 1803 højde i pixels), eller klik her for at åbne den i en ny browserfane . Når billedet åbner i et nyt vindue, skal du muligvis klikke på billedet for at zoome ind og se JPG i fuld størrelse.
Se eller download snydearket PDF-fil
Du kan downloade PDF-fil her . Når den åbner i en ny browserfane, skal du blot højreklikke på PDF'en og navigere til download/gem-valget, normalt placeret i øverste højre hjørne af skærmen.
Relateret indlæg: Hvad er tcpdump?
Hvad er inkluderet i snydearket
Følgende kategorier og genstande er inkluderet i snydearket:
Installationskommandoer
CENT OS og REDHAT | $ sudo yum installer tcpdump |
Fedora | $ dnf installer tcpdump |
Ubuntu, Debian og Linux Mint | #apt-get installer tcpdump |
Indstillinger for pakkefangst
Kontakt | Syntaks | Beskrivelse |
- jeg nogen | tcpdump -i enhver | Optag fra alle grænseflader |
-i eth0 | tcpdump -i eth0 | Optag fra specifik grænseflade (Ex Eth0) |
-c | tcpdump -i eth0 -c 10 | Fang de første 10 pakker og afslut |
-D | tcpdump -D | Vis tilgængelige grænseflader |
-EN | tcpdump -i eth0 -A | Udskriv i ASCII |
-i | tcpdump -i eth0 -w tcpdump.txt | For at gemme optagelsen til en fil |
-r | tcpdump -r tcpdump.txt | Læs og analyser gemt optagelsesfil |
-n | tcpdump -n -I eth0 | Løs ikke værtsnavne |
-nn | tcpdump -n -i eth0 | Stop domænenavnsoversættelse og -opslag (værtsnavne eller portnavne) |
tcp | tcpdump -i eth0 -c 10 -w tcpdump.pcap tcp | Optag kun TCP-pakker |
Havn | tcpdump -i eth0 port 80 | Fang kun trafik fra en defineret port |
vært | tcpdump vært 192.168.1.100 | Hent pakker fra specifik vært |
net | tcpdump net 10.1.1.0/16 | Hent filer fra netværksundernet |
src | tcpdump src 10.1.1.100 | Optag fra en bestemt kildeadresse |
dst | tcpdump dst 10.1.1.100 | Optag fra en bestemt destinationsadresse |
| tcpdump http | Filtrer trafik baseret på et portnummer for en tjeneste |
| tcpdump port 80 | Filtrer trafik baseret på en tjeneste |
portrækkevidde | tcpdump portrange 21-125 | Filter baseret på portområde |
-S | tcpdump -S http | Vis hele pakken |
ipv6 | tcpdunp -IPV6 | Vis kun IPV6-pakker |
-d | tcpdump -d tcpdump.pcap | vise menneskelig læsbar form i standardoutput |
-F | tcpdump -F tcpdump.pcap | Brug den givne fil som input til filter |
-JEG | tcpdump -I eth0 | indstil interface som skærmtilstand |
-L | tcpdump -L | Vis datalinktyper for grænsefladen |
-N | tcpdump -N tcpdump.pcap | ikke udskrive domiannavne |
-K | tcpdump -K tcpdump.pcap | Kontroller ikke kontrolsum |
-s | tcpdump -p -i eth0 | Optager ikke i promiskuøs tilstand |
Logiske operatører
Operatør | Syntaks | Eksempel | Beskrivelse |
OG | og, && | tcpdump -n src 192.168.1.1 og dst port 21 | Kombiner filtreringsmuligheder |
ELLER | eller, || | tcpdump dst 10.1.1.1 && !icmp | Begge tilstande kan matche |
UNDTAGEN | ikke,! | tcpdump dst 10.1.1.1 og ikke icmp | Negation af tilstanden |
MINDRE | < | tcpdump<32 | Viser pakkestørrelser mindre end 32 |
STØRRE | > | tcpdump >=32 | Viser pakkestørrelser større end 32 |
Display/Output muligheder
Kontakt | Beskrivelse |
-q | Helt og mindre udførlig tilstand viser færre detaljer |
-t | Udskriv ikke tidsstempeldetaljer i dump |
-i | Lidt udførligt output |
-vv | Mere udførligt output |
-turistkontor | Mest omfattende output |
-x | Udskriv data og overskrifter i HEX-format |
-xx | Udskriv data med linkoverskrifter i HEX-format |
-X | Udskriv output i HEX- og ASCII-formatekskllinkoverskrifter |
-XX | Udskriv output i HEX- og ASCII-formatinklusivelinkoverskrifter |
-og | Udskriv Link (Ethernet) overskrifter |
-S | Udskriv sekvensnumre i nøjagtigt format |
Protokoller
Ether, fddi, icmp, ip, ip6, ppp, radio, rarp, slip, tcp, udp, wlan |
Almindelige kommandoer med protokoller til filtrering af optagelser
src/dsthost (værtsnavn eller IP) | Filtrer efter kilde- eller destinations-IP-adresse eller vært |
ether src/dst-vært (ethernet-værtsnavn eller IP) | Ethernet-værtsfiltrering efter kilde eller destination |
src/dstnet (undernetmaske i CIDR) | Filtrer efter undernet |
tcp/udp src/dst port (portnummer) | Filtrer TCP- eller UDP-pakker efter kilde eller destinationsport |
tcp/udp src/dst portområde (portnummerområde) | Filtrer TCP- eller UDP-pakker efter kilde- eller destinationsportinterval |
ether/ip udsendelse | Filter til Ethernet- eller IP-udsendelser |
ether/ip multicast | Filter til Ethernet eller IP multicasts |
tcpdump ofte stillede spørgsmål
Hvordan filtrerer du MAC-adresser ved hjælp af tcpdump?
Brug vært mulighed på tcpdump-kommandoen for at begrænse output til en specifik MAC-adresse: tcpdump ether vært aa:bb:cc:11:22:33
Hvordan bruger jeg tcpdump på en bestemt port?
Brug Havn mulighed på tcpdump-kommandoen for at angive en port: tcpdump ether port 80
Hvordan læser du tcpdump output?
Der er en læsemulighed på tcpdump, som er repræsenteret af switchen -r som i: tcpdump -r fil_sti_og_navn