Снятие трафика с помощью tcpdump

Утилита tcpdump родилась в UNIX системах, очень полезна в обслуживании серверов, сейчас есть аналог для Windows платформ, позволяет перехватывать сетевой трафик и записывать его в файл либо выводить на консоль. Используется для отладки сети и сетевых приложений.

Описание ключей для этой команды в Сети много, приведем примеры использования:

Снимаем весь трафик с интерфейса rl0
# tcpdump -i rl0

Снимаем трафик по 80 порту
# tcpdump port 80

Трафик с comp1 и comp2
# tcpdump host comp1or host comp2

Весь трафик кроме myhost
# tcpdump not host myhost

Снимаем дамп для обработки трафика сторонними программами
# tcpdump -s 0 -w /home/temp/traf.cap host 10.0.0.12

• -s 0 - собираем все байты пакета
• -w - сохраняем данные в файл traf.cap в двоичном формате для использования дампа в других программах, например wireshark или snort.
• host 10.0.0.12 - указываем адрес хоста с которого снимать трафик