Решил составить ТОП 15 самых интерестных способов использования программы анализатора траффика (сниффера) tcpdump.
-
Получение всей полезной информации о пакете.
tcpdump -nnvvXSs 1514 -i
-
Перехват логина и пароля для протоколов pop3, imap, smtp и http
tcpdump -i
port http or port smtp or port imap or port pop3 -l -A \ | egrep -i 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|userna me:|password:|login:|pass |user ' -
Сниффинг HTTP траффика
tcpdump -i
port 80 -w - -
Анализирует траффик удаленно через SSH с помощью Wireshark
ssh root@HOST tcpdump -U -s0 -w - 'not port 22' | wireshark -k -i -
-
Отображает пропускную возможность сети.
tcpdump -w - | pv -bert >/dev/null
-
Сниффинг удаленной сети для получения pcap файла в режиме командной строки.
Прервать сбор можно нажатием CTRL+C, после чего открыть его с помощью wireshark для более детального анализа так:wireshark /tmp/sniff.pcap
Запускается на удалённом хосте.tcpdump -v -i
-s 0 -w /tmp/sniff.pcap port -
Анализ SMTP. Вы можете запустить это на почтовом сервере, чтобы посмотреть отправителей электронной почты и получателей.
tcpdump -l -s0 -w - tcp dst port 25 | strings | grep -i 'MAIL FROM\|RCPT TO'
-
Захват 1500 байт данных в ASCII-режиме на 80-ом порту.
tcpdump -i
-n tcp port 80 -A -s1500 -
Захват траффика memcached
tcpdump -i
-s 65535 -A -ttt port 11211 -
Сниффинг траффика и переадресация его в
snortна машину 192.168.0.2
Запускается на удалённом хосте.tcpdump -nn -i
-w - | nc 192.168.0.2 666 -
Получение информации о Cisco-сети (VLAN тэг, порт, switch, …)
tcpdump -nn -v -i
-s 1500 -c 1 'ether[20:2] == 0x2000' -
Отображение SYN-пакетов для всех сетевых интерфейсов
tcpdump -i any -n tcp[13] == 2
-
Сниффинг всех DNS запросов и ответов
tcpdump -i
'udp port 53' -
Сниффинг TCP и UDP траффика, исключая SSH
tcpdump -n -v tcp or udp or icmp and not port 22