tcpdump

ソフトウェア業界
未来はどうなるのでしょうか。
最近、linuxさんと(一方的に)お友達になれた気がするので、
そういう関連で生きていきたいと。



それはさておき、今回はtcpdumpの使いかたをマスターしたいと思います。
＃毎度の事ながら簡単に。
環境：CentOS5.3 tcpdump version 3.9.4
参考サイト：http://www.unix-vm.com/command3_46.html
参考サイト：http://thinkit.jp/article/730/1/




IPアドレス指定
tcpdump dst IPアドレスに向かって送られたパケットのみ表示
tcpdump src IPアドレスから送られたパケットのみ表示
tcpdump host IPアドレスに向かって送られた、またはIPアドレスから送られたパケットを表示
例：tcpdump dst 192.168.1.1
192.168.1.1に向かって送られたパケットを表示


MACアドレス指定
tcpdump ether dst MACアドレスに向かって送られたパケットのみ表示
tcpdump ether src MACアドレスから送られたパケットのみ表示
tcpdump ether host MACアドレスに向かって送られた、またはMACアドレスから送られたパケットを表示
例：tcpdump ether dst "FF:FF:FF:FF:FF:FF"
"FF:FF:FF:FF:FF:FF"に向かって送られたパケットを表示



ポートを指定
tcpdump port <ポート番号> ポート番号を出入りするパケットを表示
tcpdump dst port <ポート番号> ポート番号に入ってくるパケットを表示
tcpdump src port <ポート番号> ポート番号から出ていくパケットを表示




インターフェイスを指定
tcpdump -i eth0



アドレスを文字列に変換しない
tcpdump -n
例：
-nなし
hogehoge.hoge.jp

-nあり(Xは数字)
XX.XX.XX.XX

-nありの方が早く表示される
＃名前解決を行っていないからだと推測している。





パケットの内容も表示する(16進数)
tcpdump -x
※通常表示されているのはヘッダの情報だけ。
-x等、パケットの内容を表示させる引数を付けることで、初めて中身が表示される





パケットの内容を表示する(ASCII文字と16進数)
tcpdump -X
※完璧には表示されない







一定の数のパケットをキャプチャしたら終了する
tcpdump -c 数






tcpdump -v(vv) -n
vの多さに応じた詳細な情報が出力される