前回の記事では、Linuxネットワークを監視または管理するための20のNetstatコマンドを見てきました。これは、tcpdumpと呼ばれるもう1つの継続的な一連のパケットスニファツールです。ここでは、tcpdumpをインストールする方法を示してから、いくつかの便利なコマンドについて説明し、実際の例を示します。
tcpdumpは、最も強力で広く使用されているコマンドラインパケットスニファまたはパッケージアナライザツールであり、使用されています。特定のインターフェイス上のネットワークを介して受信または転送されたTCP / IPパケットをキャプチャまたはフィルタリングします。ほとんどのLinux / Unixベースのオペレーティングシステムで利用できます。 tcpdumpには、将来の分析のためにキャプチャされたパケットをファイルに保存するオプションもあります。ファイルをpcap形式で保存します。これは、tcpdumpコマンドまたはtcpdump pcap形式ファイルを読み取るWireshark(Network Protocol Analyzier)と呼ばれるオープンソースGUIベースのツールで表示できます。
Linuxにtcpdumpをインストールする方法
tcpdumpツールがすでに付属しているLinuxディストリビューションの多くは、システムにインストールされていない場合は、次のYumコマンドを使用してインストールできます。
# yum install tcpdump
tcpdumpツールがシステムにインストールされると、次のコマンドとその例を引き続き参照できます。
1。特定のインターフェースからのパケットのキャプチャ
コマンド画面は中断するまで上にスクロールし、tcpdumpコマンドを実行すると、すべてのインターフェースからキャプチャしますが、-iスイッチを使用すると目的のインターフェースからのみキャプチャします。
2。 N個のパケットのみをキャプチャする
tcpdumpコマンドを実行するとキャンセルボタンを押すまで、指定されたインターフェイスのすべてのパケットをキャプチャします。ただし、-cオプションを使用すると、指定した数のパケットをキャプチャできます。以下の例では、6つのパケットのみをキャプチャします。
3。キャプチャされたパケットをASCIIで印刷する
オプション-Aを指定した以下のtcpdumpコマンドは、パッケージをASCII形式で表示します。これは文字エンコード方式の形式です。
4。使用可能なインターフェースの表示
システムで使用可能なインターフェースの数を一覧表示するには、-Dオプションを指定して次のコマンドを実行します。
5。キャプチャされたパケットをHEXおよびASCIIで表示する
オプション-XXを指定した次のコマンドは、HEXおよびASCII形式のリンクレベルヘッダーを含む、各パケットのデータをキャプチャします。
6。パケットをファイルにキャプチャして保存する
前述のように、tcpdumpには、ファイルを.pcap形式でキャプチャして保存する機能があり、これを行うには、-wオプションを指定してコマンドを実行するだけです。
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7。キャプチャされたパケットファイルの読み取り
キャプチャされたパケット0001.pcapファイルを読み取って分析するには、次に示すように、-rオプションを指定したコマンドを使用します。
8。 IPアドレスパケットのキャプチャ
特定のインターフェイスのパケットをキャプチャするには、オプション-nを指定して次のコマンドを実行します。
9。 TCPパケットのみをキャプチャします。
TCPポートに基づいてパケットをキャプチャするには、オプションtcpを指定して次のコマンドを実行します。
10。特定のポートからパケットをキャプチャする
特定のポート22のパケットをキャプチャするとします。次に示すように、ポート番号22を指定して、次のコマンドを実行します。
11。ソースIPからパケットをキャプチャする
ソースIPからパケットをキャプチャするには、たとえば192.168.0.2のパケットをキャプチャする場合は、次のコマンドを使用します。
12。宛先IPからパケットをキャプチャする
宛先IPからパケットをキャプチャするには、たとえば50.116.66.139のパケットをキャプチャする場合は、次のコマンドを使用します。