tcpdumpとは
パケットキャプチャツール
ネットワークカードのプロミスキャスモードという機能を利用するため、スーパーユーザで動作させる必要がある
プロミスキャスモード:NICは自分宛ではないパケットに関してもすべて引き渡すようになる
Nov 5 21:58:01 akat kernel: [1209606.127115] Netfilter messages via NETLINK v0.30. Nov 5 21:58:01 akat kernel: [1209606.312237] device eth0 entered promiscuous mode Nov 5 21:58:11 akat kernel: [1209615.652178] device eth0 left promiscuous mode Nov 5 22:03:37 akat kernel: [1209941.628243] device eth0 entered promiscuous mode Nov 5 22:04:11 akat kernel: [1209976.334987] device eth0 left promiscuous mode
使い方
ポートを指定
tcpdump port 80
送信元をフィルタリングの対象とする
tcpdump src host 8.8.8.8
送信先をフィルタリングの対象とする
tcpdump dst host 8.8.8.8
tcpdump -nevX -i eth0 not port 2022
| 詳細 | |
|---|---|
| -n | 名前解決をしない |
| -e | リンクレベルヘッダ(MACアドレスやパケット長等の情報を表示)を表示する |
| -v | 詳細を表示する |
| -i | 監視するNICを指定 |
| not -port | 監視対象外ポートを指定 |
| -X | パケットを16進とASCII文字の両方で表示する |