2014 m. rugpjūčio 24 d., sekmadienis

tcpdump komandos

Tcpdump instaliavimas:
sudo apt-get install tcpdump:
Visų įrenginių atvaizdavimas:
sudo tcpdump -D
1.eth0
2.usbmon1 (USB bus number 1)
3.usbmon2 (USB bus number 2)
4.usbmon3 (USB bus number 3)
5.usbmon4 (USB bus number 4)
6.usbmon5 (USB bus number 5)
7.usbmon6 (USB bus number 6)
8.usbmon7 (USB bus number 7)
9.usbmon8 (USB bus number 8) 10.usbmon9 (USB bus number 9)
11.any (Pseudo-device that captures on all interfaces)
12.lo

Įrenginio pasirinkimas: sudo tcpdump -i eth0
Norint apskaičiuoti tam tikrą paketų skaičių naudojam '-c 10'.Šiuo atvėjul. Programa pasibaigs kai, bus užfiksuotas paskutinis 10-tas paketas su 80 prievadu. : sudo tcpdump -c 10 -n port 80
Skavanimas filtruoja paketus, kuriuose siuntėjo arba gavejo IP yra : sudo tcpdump host 8.8.8.8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
08:39:00.754352 IP localhost > google-public-dns-a.google.com: ICMP echo request, id 22331, seq 1, length 64
08:39:00.778442 IP google-public-dns-a.google.com > localhost: ICMP echo reply, id 22331, seq 1, length 64

Skavanimas su tcp dump, naudojant net komandą: sudo tcpdump net 8.8.8.8
cpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
07:54:50.373641 IP localhost > google-public-dns-a.google.com: ICMP echo request, id 22153, seq 1, length 64
07:54:50.398155 IP google-public-dns-a.google.com > localhost: ICMP echo reply, id 22153, seq 1, length 64

Skavanimas prievadų ruože: sudo tcpdump -n portrange 80-90
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
08:32:52.532895 IP localhost > 173.194.40.234.80: Flags [.], ack 184959533, win 331, options [nop,nop,TS val 2113784 ecr 1010447427], length 0
08:32:52.548614 IP 173.194.40.234.80 > localhost Flags [.], ack 1, win 661, options [nop,nop,TS val 1010457444 ecr 2088716], length 0

Skanavimas nurodant siuntėja arba gavėja (src, dst)
Skanuojant dst gateway matysis visi paketai siunčiami į maršrutizatorių (arp paketai)
Nurodant lokalų ip kaip, src/dst matysis siunčiami/gaunami paketai
sudo tcpdump src routerio_ip
sudo tcpdump src lokalus_ip
sudo tcpdump dst lokalus_ip

Visų įeinančių ir išeinančių paketų gaudymas: sudo tcpdump src or dst lokalus_ip
Skanavimas pagal protokolą ('ip', 'ip6', 'arp', 'ether', 'tcp', 'udp', 'icmp', 'icmp6') :
sudo tcpdump udp
Detalesnis filtravimas.
Bus skanuojamas visas srautas siunčiamas į 8.8.4.4 ip adresą, kurio dst prievadų ruožas tarp 0 ir 1000. Srautą galima generuoti nmap programa. sudo tcpdump dst host 8.8.4.4 and dst portrange 0-1000 -n
Protokolo ir prievado filtravimas (atrenkamas tik svetainių srautas). sudo tcpdump host lokalus_ip and tcp and port 80
Filtravimas neiginat ('!' arba 'not')
sudo tcpdump host ---ip---- and not arp and not udp and ! tcp -n
Įrašymas į dokumentą (-w): sudo tcpdump -c 10 -w `date +%F`.tcpd
ls 2014-08-30.tcpd
Skaitymas iš dokumento (-r): tcpdump -r 2014-08-30.tcpd

Pakaitalas Windows šeimos operacinėms sistemoms - Wincap

Naudojant wireshark, galima taikyta tas pačias BPF taisykles po '-f' nustatymo
-k reiškia pradėti paketų gaudymo procesą iš karto
sudo wireshark -f "port 80" -k