Jump to content
Калькуляторы

TCPDAMP как правильно составить параметры?

Добрый день.

 

Может кто-нибудь подсказать как правильно и какие параметры поставить при использовании tcpdamp команды?

Нужно по сетевому имени записать в файл параметры общения с сервером на клиентской машине.

Адрес своей машины белый v4 типа 91.232.39.ХХ и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом

Пытался разобраться, но что-то как-то в ступор вподаю.

tcpdump -i eth0 host доменноеимя.сом -w files.cap

Так или нет? Какие ещё параметры нужно указывать, чтобы посмотреть обмен данными?

Share this post


Link to post
Share on other sites

Чтобы посмотреть — нужно НЕ указывать -w.

А вообще — man tcpdump. Бессмысленно пересказывать все.

 

11 минут назад, blackcatw сказал:

и есть доменное имя доменноеимя.сом на нём бывают ещё поддоменные имена типа первое.доменноеимя.сом и второе.доменноеимя.сом

Доменных имен на L3/L4 нет.

Если трафика немного, то можно использовать tcpdump с ключом -A.

Share this post


Link to post
Share on other sites

29 минут назад, alibek сказал:

Чтобы посмотреть — нужно НЕ указывать -w.

А вообще — man tcpdump. Бессмысленно пересказывать все.

 

Доменных имен на L3/L4 нет.

Если трафика немного, то можно использовать tcpdump с ключом -A.

-w - это чтобы всё в файл записать, а потом этот файл в шарке посмотреть.

т.е. мне вместо доменного имени нужно узнать фактический IP адрес?

Share this post


Link to post
Share on other sites

В любом случае будет использоваться IP-адрес.

Просто при его указании будет выполнен ресолв.

tcpdump -i eth0 host 1.2.3.4 — получить дамп трафика с/на 1.2.3.4.

tcpdump -i eth0 — получить дамп всего трафика.

Share this post


Link to post
Share on other sites

Вообще изначально было про записать в файл. значит -w надо.

Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать:

 

$ tcpdump -i <interface> -s 65535 -w <some-file>

 

Ну или ограничить конкретным хостом

 

$ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file>

 

Share this post


Link to post
Share on other sites

4 минуты назад, lacost сказал:

Вообще изначально было про записать в файл. значит -w надо.

Если с клиента к серверу то скорее всего трафик не сумасшедший - можно и весь записать в файл, а потом в варешарке его отфильтровать и разобрать:

 

$ tcpdump -i <interface> -s 65535 -w <some-file>

 

Ну или ограничить конкретным хостом

 

$ tcpdump -i <interface> -s 65535 host x.x.x.x -w <some-file>

 

Параметр "-s 65535" нужен?

И ещё вопрос, а как его останавливать? tcpdump ? Чтобы запись в файле осталась?

Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать?

Edited by blackcatw

Share this post


Link to post
Share on other sites

28 минут назад, blackcatw сказал:

И ещё вопрос, а как его останавливать?

Ctrl+C или указывать количество пакетов для захвата.

28 минут назад, blackcatw сказал:

Вот я захожу на сервер по ssh запускаю tcpdump а я могу после этого прервать сеанс, чтобы tcpdump остался работать?

Нет. Нужно использовать bg или screen.

Share this post


Link to post
Share on other sites

9 минут назад, alibek сказал:

Нет. Нужно использовать bg или screen.

Уточню: bg+nohup

Share this post


Link to post
Share on other sites

5 минут назад, alibek сказал:

Ctrl+C или указывать количество пакетов для захвата.

Нет. Нужно использовать bg или screen.

"-c 200" примерно так количество указывать?

а "bg или screen" - можно узнать как это сделать?

Share this post


Link to post
Share on other sites

3 минуты назад, blackcatw сказал:

"-c 200" примерно так количество указывать?

Да.

4 минуты назад, blackcatw сказал:

а "bg или screen" - можно узнать как это сделать?

Если это непонятно, то лучше так не делать, а снимать дамп интерактивно.

Share this post


Link to post
Share on other sites

3 часа назад, alibek сказал:

Да.

Если это непонятно, то лучше так не делать, а снимать дамп интерактивно.

К сожалению, я не знаю переодичность запросов к серверу. Да и нужно с файла посмотреть запросы и ответы. Потому собственно и нужен файл, чтобы шарку подсунуть.

Share this post


Link to post
Share on other sites

 Ну поставьте себе под винду wireshark, или как он теперь называется. там мышом натыкайте - и фильтры есть, и склеивание пакетов. И анализ известных протоколов. Для особых любителей - tcpdump  с ключами  писать всё в полном объеме и фильтрами нужными. Затем акуле скормить дамп для анализа. У tcpdump есть масса полезных ключей и опций, например писать в файл и затем его ротировать.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.