Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия		 Предыдущая версия
tcpdump [2019/08/18 21:55] – [посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru] mirocowtcpdump [2019/12/24 23:12] (текущий) – [tcpdump на unix socket] mirocow
Строка 7: Строка 7:
   * tcpdump -n -i eth0 -l | tee resolv.pcap   * tcpdump -n -i eth0 -l | tee resolv.pcap
   * ssh root@HOST tcpdump -U -s0 -w - 'not port 22' | wireshark -k -i -   * ssh root@HOST tcpdump -U -s0 -w - 'not port 22' | wireshark -k -i -
-==== Параметры ====+==== Фильтры ====
  
-  * host +^                ^                                                              ^ 
-  * src +| Фильтр         | Определение                                                  | 
-  dst +host           | Служит для указания имени хоста                              | 
-  * net +| net            | Указывает IP подсети и сети                                  | 
-  port, portrange 21-23 +| ip             | Служит для указания адреса протокола                         | 
-  * icmp +| src            | Выводит пакеты, которые были отправлены с указанного адреса  
-  * ipip6+dst            | Выводит пакеты, которые были получены указанным адресом      | 
 +| arp, udp, tcp  | Фильтрация по одному из протоколов                           | 
 +port, portrange           | Отображает информацию, относящуюся к определенному порту, диапазону портов     | 
 +| and, or        | Служит для объединения нескольких фильтров в команде         | 
 +| lessgreater  | Вывод пакетов меньше или больше указанного размера           |
  
 ==== Ключи ==== ==== Ключи ====
Строка 146: Строка 150:
 <code bash>$ tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net 172.16.0.0/16 and not icmp <code bash>$ tcpdump -nvvXSs 1514 dst 192.168.0.2 and src net 172.16.0.0/16 and not icmp
 $ tcpdump -nvvvpi rl0 tcp and not port ssh and not port smtp</code> $ tcpdump -nvvvpi rl0 tcp and not port ssh and not port smtp</code>
 +
 +=== tcpdump на unix socket ===
 +
 +nano ./host.conf, затем перезапускаем nginx
 +<code>
 +fastcgi_pass unix:/tmp/php-fpm.sock.socat;
 +</code>
 +
 +Запускаем снифер и смотрим вывод
 +<code bash>
 +$ socat -t100 -x -v UNIX-LISTEN:/tmp/php-fpm.sock.socat,mode=777,reuseaddr,fork UNIX-CONNECT:/tmp/php-fpm.sock
 +</code>
 +
 +=== Заголовок ===
 +
 +<code bash>
 +$ tcpdump -i eth1 tcp and host 10.27.13.14 and port 6973 -s0 -vv -X -c 1000
 +</code>
 ===== Ссылки ===== ===== Ссылки =====
  
Строка 151: Строка 173:
   * http://storm.in.ua/a2/analiz-setevogo-trafika-s-pomoschyu-Tcpdump.html   * http://storm.in.ua/a2/analiz-setevogo-trafika-s-pomoschyu-Tcpdump.html
   * http://www.inattack.ru/article/analiz-trafika-pri-pomoschi-tcpdump-chas/266.html#.UIpnsYKCgUA   * http://www.inattack.ru/article/analiz-trafika-pri-pomoschi-tcpdump-chas/266.html#.UIpnsYKCgUA
-  * +  * https://xakep.ru/2012/02/06/tcpdump-network-audit/ 
 +  * [[https://habr.com/ru/post/211042/|Фильтры захвата для сетевых анализаторов ]] :!: