Phenquestions
Orijinal olarak, 1988'de California'daki Lawrence Berkeley Laboratuvarı'nda dört Ağ Araştırma Grubu çalışanı tarafından yazılmıştır. On bir yıl sonra, 1999'da tcpdump sitesini oluşturan Micheal Richardson ve Bill Fenner tarafından organize edildi. Tcpdump, Unix benzeri tüm işletim sistemlerinde çalışır. Tcpdump'ın Windows sürümüne WinDump adı verilir ve libpcap için Windows alternatifi olan WinPcap'ı kullanır.
tcpdump'ı yüklemek için eki kullanın:
$ sudo ek kurulum tcpdumptcpdump'ı kurmak için paket yöneticinizi kullanın:
$ sudo apt-get install tcpdump (Debian/Ubuntu)$ sudo dnf tcpdump'ı kurun (CentOS/RHEL 6&7)
$ sudo yum tcpdump'u kurun (Fedora/CentOS/RHEL 8)
tcpdump'ı keşfederken farklı kullanımları ve çıktıları görelim!
UDP
Tcpdump, UDP paketlerini de boşaltabilir. Bir UDP paketi göndermek için bir netcat (nc) aracı kullanacağız ve ardından onu boşaltacağız.
$ echo -n "tcpdumper" | nc -w 1 -u yerel ana bilgisayar 1337Yukarıda verilen komutta, dizeden oluşan bir UDP paketi gönderiyoruz "tcpdumper" UDP bağlantı noktasına 1337 üzerinden yerel ana bilgisayar. Tcpdump, 1337 numaralı UDP bağlantı noktası üzerinden gönderilen paketi yakalar ve onu görüntüler.
Şimdi bu paketi tcpdump kullanarak dökeceğiz.
$ sudo tcpdump -i lo udp bağlantı noktası 1337 -vvv -XBu komut, paketlerden alınan verileri ASCII ve hex biçiminde yakalayacak ve gösterecektir.
tcpdump: lo'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, ofset 0, bayraklar [DF], proto UDP (17), uzunluk 37)
yerel ana bilgisayar.54574 > yerel ana bilgisayar.1337: [kötü udp cksum 0xfe24 -> 0xeac6!] UDP, uzunluk 9
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E… %… @.@… ;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $tcpd
0x0020: 756d 7065 72 tampon
Gördüğümüz gibi, paket 1337 numaralı bağlantı noktasına gönderildi ve dize olarak uzunluk 9 idi tcpdumper 9 bayt. Paketin hex formatında görüntülendiğini de görebiliriz.
DHCP
Tcpdump, ağ üzerinden DHCP paketleri üzerinde de araştırma yapabilir. DHCP, 67 veya 68 numaralı UDP bağlantı noktasını kullanır, bu nedenle yalnızca DHCP paketleri için tcpdump tanımlayacağız ve sınırlayacağız. Bir wifi ağ arayüzü kullandığımızı varsayalım.
Burada kullanılan komut şöyle olacaktır:
tcpdump: wlan0'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt
03:52:04.004356 00:11:22:33:44:55 > 00:11:22:33:44:66, ethertype IPv4 (0x0800), uzunluk 342: (tos 0x0, ttl 64, id 39781, ofset 0, bayraklar [DF ], proto UDP (17), uzunluk 328)
192.168.10.21.68 > 192.168.10.1.67: [udp toplamı tamam] BOOTP/DHCP, 00:11:22:33:44:55'ten gelen istek, uzunluk 300, xid 0xfeab2d67, Bayraklar [yok] (0x0000)
İstemci-IP 192.168.10.16
İstemci-Ethernet-Adresi 00:11:22:33:44:55
Satıcı-rfc1048 Uzantıları
Sihirli Kurabiye 0x63825363
DHCP-Mesajı (53), uzunluk 1: Yayın
Sunucu Kimliği (54), uzunluk 4: 192.168.10.1
Ana bilgisayar adı (12), uzunluk 6: "papağan"
SON (255), uzunluk 0
PAD (0), uzunluk 0, 42 oluşur
DNS
Alan Adı Sistemi olarak da bilinen DNS, Alan adını alan adresi ile eşleştirerek size aradığınızı sağlamayı onaylar. Cihazınızın internet üzerinden DNS seviyesindeki iletişimini incelemek için tcpdump'ı aşağıdaki şekilde kullanabilirsiniz. DNS, iletişim için UDP bağlantı noktası 53'ü kullanır.
$ sudo tcpdump -i wlan0 udp bağlantı noktası 53tcpdump: wlan0'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, ofset 0, bayraklar [DF], proto UDP (17), uzunluk 72)
192.168.10.16.45899 > bir.bir.bir.bir.etki alanı: [udp toplamı tamam] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, ofset 0, bayraklar [DF], proto UDP (17), uzunluk 104)
bir.bir.bir.bir.etki alanı > 192.168.10.16.45899: [udp toplamı tamam] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249, mozilla.cloudflare-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, ofset 0, bayraklar [DF], proto UDP (17), uzunluk 66)
192.168.10.16.34043 > bir.bir.bir.bir.etki alanı: [udp toplamı tamam] 40757+ PTR? 1.1.1.1.in-addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, ofset 0, bayraklar [DF], proto UDP (17), uzunluk 95)
bir.bir.bir.bir.etki alanı > 192.168.10.16.34043: [udp toplamı tamam] 40757 q: PTR? 1.1.1.1.in-addr.arpa. 1/0/0 1.1.1.1.in-addr.arpa. [26m53s] PTR bir.bir.bir.bir. (67)
ARP
Adres Çözümleme Protokolü, MAC adresi gibi bağlantı katmanı adresini keşfetmek için kullanılır. Belirli bir internet katmanı adresiyle, tipik olarak bir IPv4 adresiyle ilişkilendirilir.
Arp paketlerinde taşınan verileri yakalamak ve okumak için tcpdump kullanıyoruz. Komut şu kadar basittir:
$ sudo tcpdump -i wlan0 arp -vvvtcpdump: wlan0'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), 192'ye sahip olan istek.168.10.1 söyle 192.168.10.2, uzunluk 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), 192'ye sahip olan istek.168.10.21 söyle 192.168.10.1, uzunluk 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), Yanıt 192.168.10.21 saat 00:11:22:33:44:55 (oui Bilinmiyor), uzunluk 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), 192'ye sahip olan istek.168.10.1 söyle 192.168.10.2, uzunluk 28
ICMP
İnternet Kontrol Mesajı Protokolü olarak da bilinen ICMP, İnternet protokol paketinde destekleyici bir protokoldür. ICMP bir bilgi protokolü olarak kullanılır.
Bir arabirimdeki tüm ICMP paketlerini görüntülemek için şu komutu kullanabiliriz:
$ sudo tcpdump icmp -vvvtcpdump: wlan0'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, ofset 0, bayraklar [DF], proto ICMP (1), uzunluk 84)
192.168.10.16 > 192.168.10.1: ICMP yankı isteği, id 47363, sıra 1, uzunluk 64
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, ofset 0, bayraklar [yok], proto ICMP (1), uzunluk 84)
192.168.10.1 > 192.168.10.16: ICMP yankı yanıtı, id 47363, sıra 1, uzunluk 64
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, ofset 0, bayraklar [DF], proto ICMP (1), uzunluk 84)
192.168.10.16 > 192.168.10.1: ICMP yankı isteği, id 47363, sıra 2, uzunluk 64
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, ofset 0, bayraklar [yok], proto ICMP (1), uzunluk 84)
192.168.10.1 > 192.168.10.16: ICMP yankı yanıtı, id 47363, sıra 2, uzunluk 64
NTP
NTP, bir makine ağındaki zamanı senkronize etmek için özel olarak tasarlanmış bir ağ protokolüdür. ntp'de trafiği yakalamak için:
$ sudo tcpdump dst bağlantı noktası 12304:31:05.547856 IP (tos 0x0, ttl 64, id 34474, ofset 0, bayraklar [DF], proto UDP (17), uzunluk 76)
192.168.10.16.ntp > zaman-b-wwv.nist.hükümet.ntp: [udp toplamı tamam] NTPv4, İstemci, uzunluk 48
Sıçrama göstergesi: senkronize olmayan saat (192), Stratum 0 (belirtilmemiş), anket 3 (8s), hassasiyet -6
Kök Gecikmesi: 1.000000, Kök dağılımı: 1.000000, Referans Kimliği: (belirtilmemiş)
Referans Zaman Damgası: 0.00000000
Oluşturan Zaman Damgası: 0.00000000
Zaman Damgası Al: 0.00000000
Zaman Damgasını İlet: 3825358265.547764155 (2021-03-21T23:31:05Z)
Oluşturan - Zaman Damgası Al: 0.00000000
Oluşturan - Zaman Damgasını Gönder: 3825358265.547764155 (2021-03-21T23:31:05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, ofset 0, bayraklar [yok], proto UDP (17), uzunluk 76)
zaman-b-wwv.nist.hükümet.ntp > 192.168.10.16.ntp: [udp toplamı tamam] NTPv3, Sunucu, uzunluk 48
Sıçrama göstergesi: (0), Stratum 1 (birincil referans), anket 13 (8192s), hassasiyet -29
Kök Gecikmesi: 0.000244, Kök dağılımı: 0.000488, Referans Kimliği: NIST
Referans Zaman Damgası: 3825358208.000000000 (2021-03-21T23:30:08Z)
Oluşturan Zaman Damgası: 3825358265.547764155 (2021-03-21T23:31:05Z)
Zaman Damgası Al: 3825358275.028660181 (2021-03-21T23:31:15Z)
Zaman Damgasını İlet: 3825358275.028661296 (2021-03-21T23:31:15Z)
Oluşturan - Zaman Damgası Al: +9.480896026
Oluşturan - Zaman Damgasını Gönder: +9.480897141
SMTP
SMTP veya Basit Posta Aktarım Protokolü, çoğunlukla e-postalar için kullanılır. Tcpdump, faydalı e-posta bilgilerini çıkarmak için bunu kullanabilir. Örneğin, e-posta alıcılarını/gönderenlerini çıkarmak için:
$ sudo tcpdump -n -l bağlantı noktası 25 | grep -i 'POSTA'DAN\|RCPT TO'IPv6
IPv6 geniş bir IP adresi yelpazesi sağlayan "yeni nesil" IP'dir. IPv6 İnternetin uzun vadeli sağlığının elde edilmesine yardımcı olur.
IPv6 trafiğini yakalamak için, proto 6 ve proto-17'yi kullanarak TCP ve UDP protokollerini belirten ip6 filtresini kullanın.
$ sudo tcpdump -n -i herhangi bir ip6 -vvvtcpdump: veri bağlantısı türü LINUX_SLL2
tcpdump: herhangi bir bağlantı türü LINUX_SLL2'yi (Linux pişmiş v2) dinleme, anlık görüntü uzunluğu 262144 bayt
04:34:31.847359 lo IP6'da (akış etiketi 0xc7cb6, hlim 64, sonraki başlık UDP (17) yük uzunluğu: 40) ::1.49395 > ::1.49395: [kötü udp cksum 0x003b -> 0x3587!] UDP, uzunluk 32
04:34:31.859082 lo IP6'da (akış etiketi 0xc7cb6, hlim 64, sonraki başlık UDP (17) yük uzunluğu: 32)::1.49395 > ::1.49395: [kötü udp cksum 0x0033 -> 0xeaef!] UDP, uzunluk 24
04:34:31.860361 lo IP6'da (akış etiketi 0xc7cb6, hlim 64, sonraki başlık UDP (17) yük uzunluğu: 40) ::1.49395 > ::1.49395: [kötü udp cksum 0x003b -> 0x7267!] UDP, uzunluk 32
04:34:31.871100 lo IP6'da (akış etiketi 0xc7cb6, hlim 64, sonraki başlık UDP (17) yük uzunluğu: 944)::1.49395 > ::1.49395: [kötü udp cksum 0x03c3 -> 0xf890!] UDP, uzunluk 936
4 paket yakalandı
Filtre tarafından alınan 12 paket
Çekirdek tarafından bırakılan 0 paket
'-c 4' yalnızca 4 pakete kadar paket sayısı sağlar. n'e kadar paket sayısını belirleyebilir ve n paketi yakalayabiliriz.
HTTP
Köprü Metni Aktarım Protokolü, web sayfalarını görüntülemek için bir web sunucusundan bir tarayıcıya veri aktarmak için kullanılır. HTTP, TCP form iletişimini kullanır. Özellikle, 80 numaralı TCP bağlantı noktası kullanılır.
80 numaralı bağlantı noktasına ve bağlantı noktasından tüm IPv4 HTTP paketlerini yazdırmak için:
tcpdump: wlan0'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt03:36:00.602104 IP (tos 0x0, ttl 64, id 722, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 60)
192.168.10.21.33586 > 192.168.10.1.http: Bayraklar [S], cksum 0xa22b (doğru), seq 2736960993, 64240 kazan, seçenekler [mss 1460,sackOK,TS val 389882294 ecr 0,nop,wscale 10], uzunluk 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 60)
192.168.10.1.http > 192.168.10.21.33586: Bayraklar [S.], cksum 0x2dcc (doğru), sıra 4089727666, ack 2736960994, kazanma 14480, seçenekler [mss 1460,sackOK,TS val 30996070 ecr 389882294,nop,wscale 3], uzunluk 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 52)
192.168.10.21.33586 > 192.168.10.1.http: Bayraklar [.], cksum 0x94e2 (doğru), sıra 1, ack 1, 63 kazan, seçenekler [nop,nop,TS val 389882297 ecr 30996070], uzunluk 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 481)
HTTP İstekleri…
192.168.10.21.33586 > 192.168.10.1.http: Bayraklar [P.], cksum 0x9e5d (doğru), seq 1:430, ack 1, 63 kazan, seçenekler [nop,nop,TS val 389882297 ecr 30996070], uzunluk 429: HTTP, uzunluk: 429GET / HTTP/1.1
Ev sahibi: 192.168.10.1
Kullanıcı Aracısı: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/201000101 Firefox/78.0
Kabul et: text/html,application/xhtml+xml,application/xml;q=0.9,resim/webp,*/*;q=0.8
Kabul Et-Dil: tr-US,en;q=0.5
Kabul-Kodlama: gzip, deflate
DNT: 1
Bağlantı: canlı tutmak
Çerez: _TESTCOOKIESUPPORT=1; SID=c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Yükseltme-Güvensiz-İstekler: 1
Ve yanıtlar da yakalanır
192.168.10.1.http > 192.168.10.21.33586: Bayraklar [P.], cksum 0x84f8 (doğru), seq 1:523, ack 430, kazanma 1944, seçenekler [nop,nop,TS val 30996179 ecr 389882297], uzunluk 522: HTTP, uzunluk: 522HTTP/1.1 200 TAMAM
Sunucu: ZTE web sunucusu 1.0 ZTE şirketi 2015.
Kabul Aralıkları: bayt
Bağlantı: kapat
X-Frame-Options: SAMEORIGIN
Önbellek Kontrolü: önbellek yok, mağaza yok
İçerik Uzunluğu: 138098
Set-Cookie: _TESTCOOKIESUPPORT=1; YOL=/; Yalnızca Http
İçerik Türü: metin/html; karakter kümesi=utf-8
X-Content-Type-Options: nosniff
İçerik-Güvenlik-Politikası: çerçeve-ataları 'self' 'unsafe-inline' 'unsafe-eval';img-src 'self' data:;
X-XSS-Koruması: 1; mod=blok
Set-Cookie: SID=;expires=Per, 01-Ocak-1970 00:00:00 GMT;yol=/; Yalnızca Http
TCP
Yalnızca TCP paketlerini yakalamak için bu komut her şeyi yapacaktır:
$ sudo tcpdump -i wlan0 tcptcpdump: wlan0'da dinleme, bağlantı tipi EN10MB (Ethernet), anlık görüntü uzunluğu 262144 bayt
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, ofset 0, bayraklar [yok], proto TCP (6), uzunluk 104)
tl-in-f189.1e100.ağ.https > 192.168.10.16.50272: Bayraklar [P.], cksum 0xc924 (doğru), seq 1377740065:1377740117, ack 1546363399, 300 kazan, seçenekler [nop,nop,TS val 13149401 ecr 3051434098], uzunluk 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 52)
192.168.10.16.50272 > tl-in-f189.1e100.ağ.https: Bayraklar [.], cksum 0xf898 (doğru), sıra 1, ack 52, 63 kazan, seçenekler [nop,nop,TS val 3051461952 ecr 13149401], uzunluk 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 88)
192.168.10.16.50272 > tl-in-f189.1e100.ağ.https: Bayraklar [P.], cksum 0x2531 (doğru), sıra 1:37, ack 52, 63 kazan, seçenekler [nop,nop,TS val 3051463260 ecr 13149401], uzunluk 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, ofset 0, bayraklar [DF], proto TCP (6), uzunluk 88)
192.168.10.16.50434 > hkg12s18-in-f14.1e100.ağ.https: Bayraklar [P.], cksum 0xb21e (doğru), seq 328391782:328391818, ack 3599854191, 63 kazan, seçenekler [nop,nop,TS val 3656137742 ecr 2564108387], uzunluk 36
4 paket yakalandı
Filtre tarafından alınan 4 paket
Çekirdek tarafından bırakılan 0 paket
Normalde TCP paket yakalama çok fazla trafikle sonuçlanır; yakalamaya aşağıdaki gibi filtreler ekleyerek gereksinimlerinizi ayrıntılı olarak belirtebilirsiniz:
Liman
İzlenecek bağlantı noktasını belirtir
Kaynak IP
Belirli bir kaynaktan paketleri görüntülemek için
Hedef IP
Belirli bir hedefe giden paketleri görüntülemek için
Paket yakalamayı dosyalara kaydetme
Paket yakalamayı daha sonra analiz yapmak üzere kaydetmek için, dosya adı parametresi gerektiren tcpdump'ın -w seçeneğini kullanabiliriz. Bu dosyalar, paket yakalamalarını kaydetmek veya göndermek için kullanılabilen bir pcap (paket yakalama) dosya biçiminde kaydedilir.
Örneğin:
$ sudo tcpdumpTCP, UDP veya ICMP paketlerini vb. yakalamak isteyip istemediğimize dair filtreler ekleyebiliriz.
Dosyalardan paket yakalama okuma
Ne yazık ki, kaydedilen dosyayı cat, vb. gibi yaygın 'dosya oku' komutları aracılığıyla okuyamazsınız. Çıktı tamamen anlamsız ve dosyada ne olduğunu söylemek zor. '-r', klasöre kaydedilen paketleri okumak için kullanılır .daha önce '-w' ile saklanan pcap dosyası veya pcaps depolayan diğer yazılımlar:
$ sudo tcpdump -rBu, yakalanan paketlerden toplanan verileri terminal ekranında okunabilir bir biçimde yazdırır.
Tcpdump hile sayfası
Tcpdump, grep, sed, vb. gibi diğer Linux komutlarıyla kullanılabilir., faydalı bilgiler çıkarmak. Değerli bilgiler elde etmek için tcpdump ile kullanımda birleştirilen bazı yararlı kombinasyonlar ve anahtar kelimeler.
HTTP Kullanıcı Aracılarını Çıkarın:
$ sudo tcpdump -n | grep "Kullanıcı Aracısı:"HTTP üzerinden istenen URL'ler, aşağıdakiler gibi tcpdump kullanılarak izlenebilir:
$ sudo tcpdump -v -n | egrep -i "POST / |GET / |Host:"Ayrıca POST İsteklerinde HTTP Parolalarını Çıkarın
$ sudo tcpdump -nn -l | egrep -i "POST /|pwd=|parola=|parola=|Ana Bilgisayar:"Sunucu veya İstemci tarafı tanımlama bilgileri aşağıdakiler kullanılarak çıkarılabilir:
$ sudo tcpdump -n | egrep -i 'Çerez Ayarla|Ana Bilgisayar:|Çerez:'Aşağıdakileri kullanarak DNS isteklerini ve yanıtlarını yakalayın:
$ sudo tcpdump -i wlp58s0 -s0 bağlantı noktası 53Tüm düz metin şifrelerini yazdırın:
$ sudo tcpdump bağlantı noktası http veya bağlantı noktası ftp veya bağlantı noktası smtp veya bağlantı noktası imap veya bağlantı noktası pop3 veya bağlantı noktası telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|kullanıcı=|kullanıcı |kullanıcı adı=|pw=|parola=|parola=|parola=|parola:|kullanıcı:|kullanıcı adı:|parola:| oturum aç:|geç 'Ortak Tcpdump filtreleri
- -bir Paketleri ASCII Formatında gösterir.
- -c Yakalanacak paket sayısı.
- -Miktar Yalnızca yakalanan bir dosyayı okurken paket sayısını yazdır.
- -e MAC adreslerini ve bağlantı düzeyi başlıklarını yazdırın.
- -h veya -yardım Sürüm ve kullanım bilgilerini yazdırır.
- -versiyon Yalnızca sürüm bilgilerini göster.
- -ben Yakalanacak ağ arayüzünü belirtin.
- -K Herhangi bir paketin sağlama toplamlarını doğrulama girişimlerini önleyin. Hız ekler.
- -m
Kullanılacak Modülü Belirtin. - -n Adresleri dönüştürmeyin (i.e., ana bilgisayar adresleri, bağlantı noktası numaraları vb.) isimlere.
- -numara Her satırın başına isteğe bağlı bir paket numarası yazdırın.
- -p Arayüzün karışık moda girmesini yasakla.
- -S Yakalanacak paketler için yön seçin. Gönder veya al.
- -q Sessiz/Hızlı Çıkış. Daha az bilgi yazdırır. Çıkışlar daha kısa.
- -r
Bir pcap'tan paketleri okumak için kullanılır . - -t Her döküm satırına bir zaman damgası yazdırmayın.
- -v Çıktı ile ilgili daha fazla bilgi yazdırır.
- -w
Ham paketleri dosyaya yazın. - -x ASCII çıktısını yazdırır.
- -X ASCII'yi hex ile yazdırır.
- -liste arayüzleri Paketlerin tcpdump tarafından yakalanabileceği tüm ağ arayüzlerini gösterir.
bırakma
Tcpdump, Güvenlik/Ağ iletişimi araştırma ve uygulamalarında çok yaygın olarak kullanılan bir araç olmuştur. tcpdump'ın tek dezavantajı 'GUI' olmamasıdır, ancak en iyi çizelgelerin dışında tutulamayacak kadar iyidir. Daniel Miessler'in yazdığı gibi, "Wireshark gibi Protokol Analizörleri harika, ancak paket-fu'da gerçekten ustalaşmak istiyorsanız, önce tcpdump ile bir olmalısınız.”
