RHEL9 tcpdump　パケットキャプチャの使い方のサンプル

2024年2月6日

環境

RHEL9.2

書式

tcpdump -Xvv -s 2048 -i eth1 [expression]

オプションについて

-Xvv 詳細情報を16進数で表示。
　　ヘッダだけではなくパケットの中身も見たい場合に利用。
-s 取得するパケットのデータ長を指定。
　　　(デフォルトで68バイトのsnaplenのバイト長)
-i インタフェースを指定。
　　　　全てのインタフェースを指定したい場合「-i any」とする。

expression には、ダンプするパケットの種類を指定します。

指定パターン 　　　入力例
<type> <id>　　　　　host 192.168.1.1
<dir> <type> <id>　src host 192.168.1.1
<proto> <type> <id>udp and host 192.168.1.1
<proto> <dir> <type> <id>udp and src host 192.168.1.1

操作例1

type には対象のパケット種類を指定します。

コマンド

tcpdump -Xvv -s 2048 -i ens160 host 192.168.1.12

192.168.1.12との通信情報を取得します

操作例2

# tcpdump -Xvv -s 2048 -i ens160 net 192.168

# tcpdump -Xvv -s 2048 -i ens160 port 80

操作例3

dir には通信方向srcを指定します。

# tcpdump -Xvv -s 2048 -i ens160 src 192.168.213.1

dir には通信方向dstを指定します。

# tcpdump -Xvv -s 2048 -i ens160 dst 192.168.213.1

操作例4

特定のプロトコルを指定します。

tcpを指定する場合

tcpdump -Xvv -s 2048 -i ens160 tcp and host 192.168.213.1

udpを指定する場合

tcpdump -Xvv -s 2048 -i ens160　udp and src host 192.168.1.1

Posted by arkgame