Различия

Показаны различия между двумя версиями страницы.

--- tcpdump [2019/08/18 21:11] – [Записать в файл mbill251 весь трафик с хоста xxx.xxx.xxx.251 за исключением трафика ssh] mirocow
+++ tcpdump [2019/12/24 23:12] (текущий) – [tcpdump на unix socket] mirocow
@@ Строка 3: / Строка 3: @@
 ====== tcpdump ======
-==== Параметры ====
+===== Анализ =====
+  * tcpdump -n -i eth0 -l | tee resolv.pcap
+  * ssh root@HOST tcpdump -U -s0 -w - 'not port 22' | wireshark -k -i -
+==== Фильтры ====
-  * host
+^                ^                                                              ^
-  * src
+| Фильтр         | Определение                                                  |
-  * dst
+| host           | Служит для указания имени хоста                              |
-  * net
+| net            | Указывает IP подсети и сети                                  |
-  * port, portrange 21-23
+| ip             | Служит для указания адреса протокола                         |
-  * icmp
+| src            | Выводит пакеты, которые были отправлены с указанного адреса  |
-  * ip, ip6
+| dst            | Выводит пакеты, которые были получены указанным адресом      |
+| arp, udp, tcp  | Фильтрация по одному из протоколов                           |
+| port, portrange           | Отображает информацию, относящуюся к определенному порту, диапазону портов     |
+| and, or        | Служит для объединения нескольких фильтров в команде         |
+| less, greater  | Вывод пакетов меньше или больше указанного размера           |
 ==== Ключи ====
@@ Строка 75: / Строка 83: @@
 === Прослушать порт 5060 с ip xxx.xxx.xxx.251 ===
-tcpdump -i eth0 -n -s 0 port 5060 and host xxx.xxx.xxx.251 -vvv -w /usr/local/tcpdumplog/log
+<code bash>
-tcpdump -i eth0 -n -s 0 port 1720 and host xxx.xxx.xxx.251 -vvv -w /usr/local/tcpdumplog
+$ tcpdump -i eth0 -n -s 0 port 5060 and host xxx.xxx.xxx.251 -vvv -w /usr/local/tcpdumplog/log
+$ tcpdump -i eth0 -n -s 0 port 1720 and host xxx.xxx.xxx.251 -vvv -w /usr/local/tcpdumplog
+</code>
 === H.323 сигналинг ловим с двух IP. В таком виде с двух IP отказалось снимать, может быть OR нужно было поставить. ===
-# tcpdump -i eth0 -n -s 0 port 1720 and host xxx.xxx.164.1 and host xxx.xxx.107.1 -vvv -w /usr/local/tcpdumplog/logfile
+<code bash>$ tcpdump -i eth0 -n -s 0 port 1720 and host xxx.xxx.164.1 and host xxx.xxx.107.1 -vvv -w /usr/local/tcpdumplog/logfile</code>
 === перечислить доступные интерфейсы (которые можно прослушивать при помощи опции -i) ===
-tcpdump -D
+<code bash>$ tcpdump -D</code>
 === посмотреть трафик одного хоста: ===
-tcpdump host 1.2.3.4
+<code bash>$ tcpdump host 1.2.3.4</code>
 === посмотреть трафик на порте: ===
-tcpdump src port 80
+<code bash>$ tcpdump src port 80</code>
 === посмотреть IP трафик на хост: ===
-tcpdump ip host 1.2.3.4
+<code bash>$ tcpdump ip host 1.2.3.4</code>
 === посмотреть ARP трафик на хост: ===
-tcpdump arp host 1.2.3.4
+<code bash>$ tcpdump arp host 1.2.3.4</code>
 === посмотреть RARP трафик на хост: ===
-tcpdump rarp host 1.2.3.4
+<code bash>$ tcpdump rarp host 1.2.3.4</code>
 === посмотреть трафик, кроме хоста unixserver: ===
-tcpdump not host unixserver
+<code bash>$ tcpdump not host unixserver</code>
 ==== посмотреть трафик на server1 и server2 ====
-tcpdump host server1 or host server2
+<code bash>$ tcpdump host server1 or host server2</code>
 === посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru ===
-tcpdump -X -i tun0 host ya.ru
+<code bash>$ tcpdump -X -i tun0 host ya.ru</code>
 === подсмотреть номера и пароли к icq ===
-tcpdump -X -i fxp1 port aol
+<code bash>$ tcpdump -X -i fxp1 port aol</code>
 === посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru ===
@@ Строка 126: / Строка 136: @@
 посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста
-tcpdump -X -s 1500 -n -i tun0 host ya.ru
+<code bash>$ tcpdump -X -s 1500 -n -i tun0 host ya.ru</code>
-===== Анализ =====
+=== TCP traffic from 10.5.2.3 destined for port 3389: ===
-  * tcpdump -n -i eth0 -l | tee resolv.pcap
+<code bash>$ tcpdump -nnvvS tcp and src 10.5.2.3 and dst port 3389</code>
-  * затем Wireshark
+=== Traffic originating from the 192.168 network headed for the 10 or 172.16 networks: ===
+<code bash>$ tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16</code>
+=== Non-ICMP traffic destined for 192.168.0.2 from the 172.16 network: ===
+<code bash>$ tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net 172.16.0.0/16 and not icmp
+$ tcpdump -nvvvpi rl0 tcp and not port ssh and not port smtp</code>
+=== tcpdump на unix socket ===
+nano ./host.conf, затем перезапускаем nginx
+<code>
+fastcgi_pass unix:/tmp/php-fpm.sock.socat;
+</code>
+Запускаем снифер и смотрим вывод
+<code bash>
+$ socat -t100 -x -v UNIX-LISTEN:/tmp/php-fpm.sock.socat,mode=777,reuseaddr,fork UNIX-CONNECT:/tmp/php-fpm.sock
+</code>
+=== Заголовок ===
+<code bash>
+$ tcpdump -i eth1 tcp and host 10.27.13.14 and port 6973 -s0 -vv -X -c 1000
+</code>
 ===== Ссылки =====
@@ Строка 138: / Строка 173: @@
   * http://storm.in.ua/a2/analiz-setevogo-trafika-s-pomoschyu-Tcpdump.html
   * http://www.inattack.ru/article/analiz-trafika-pri-pomoschi-tcpdump-chas/266.html#.UIpnsYKCgUA
-  *
+  * https://xakep.ru/2012/02/06/tcpdump-network-audit/
+  * [[https://habr.com/ru/post/211042/|Фильтры захвата для сетевых анализаторов ]] :!: