[Linux]tcpdumpの使い方 頻繁に使うコマンドまとめ

a0002_007767

Linuxサーバでのパケットキャプチャを実施する場合に重宝する「tcpdump」でよく使うコマンドを現役エンジニアがまとめてみました。「tcpdump」自体たまにしか使わないのでオプションなどをすぐ忘れてしまうんですよね。 自分への備忘録的な意味も含めつつ書いていきます。

スポンサーリンク
PC用ad

tcpdumpで使う事が多いコマンドをまとめる

用途別

▼IPを指定する場合

tcpdump host 192.168.100.1

▼ネットワークアドレスで指定する場合

tcpdump net 192.168.100.0 mask 255.255.255.0

▼ポート番号を指定する場合

tcpdump port 80

▼Wireshark解析用にファイルを保存する場合

tcpdump -s 0 -w [ファイル名]

-w [ファイル名]でWiresharkで読めるような形式で保存が出来るが、デフォルトのキャプチャ用バッファが小さく全てのデータを取る事が出来ないので、[-s 0]をつけて全てを取るようにしている。

▼ローテートしたファイルをgzipで固める場合

tcpdump host 1.1.1.1 -w /tmp/test.pcap -C 1 -z gzip

-z gzipを指定すると上記コマンドの場合は、1MB毎にローテートされたファイルをgzipで固める事が出来る。 なお実際にgzipで固めたらファイルサイズは8分の1ぐらいになった。  

オプション一覧

-nn 対象のIPやポート番号について名前に変換しない
-i キャプチャ対象のインターフェースを指定する
-w 生データでファイルに保存する。Wiresharkで見れる。
-s キャプチャサイズの指定。0を付けると全てを対象とする。
-A ASCII文字で表示
-X 16進とASCII文字で表示
-G ファイルを指定時間感覚でローテートする。
-C 一定のファイルサイズでローテートする。
-p プロミスキャスモードにしない。
-z 作成したファイルに対してコマンドを実行できる。

最後に

お役に立てましたでしょうか? 本当はトラブルなど起きず、tcpdumpなぞ打たないことが望ましい(ToT)

スポンサーリンク
PC用ad
PC用ad

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です