Для работы с программой tcpdump необходимы права пользователя root.
Для примеров примем следующие значения:
- локальный интерфейс Leth0 ip 10.0.0.1/24
- внешний интерфейс Eeth1 1.1.1.1/30 шлюз 1.1.1.2
- подсеть серых адресов абонентов 10.0.0.0/24 шлюз 10.0.0.1 dns 10.0.0.1
Пример 1.
Просмотреть icmp (ping) пакеты на локальный интерфейс ideco:
tcpdump -i Leth0 -nn proto ICMP
Эта команда выдаст все ICMP пакеты, проходящие через локальный интерфейс.
tcpdump -i Leth0 -nn proto ICMP and host 10.0.0.1
Выдает информацию о ICMP пакетах, приходящих (и исходящих) на локальный IP адрес.
tcpdump -i Leth0 -nn proto ICMP and net 10.0.0.0/24
Выдает информацию о ICMP пакетах, приходящих (и исходящих) из локальной сети.
tcpdump -i Leth0 -nn proto ICMP and not host 10.0.0.1
Выдаст все ICMP пакеты, проходящие через локальный интерфейс, кроме пакетов, которые относятся к хосту 10.0.0.1
Пример 2.
Нам необходимо увидеть, кто в локальной сети создает большое количество новых сессий.
tcpdump -i Leth0 -nn tcp[13] == 2
Команда выдаст все TCP пакеты с флагом SYN (начало сессии).
tcpdump -i Leth0 -nn tcp[13] == 2 and src net 10.0.0.0/24
Выдаст все SYN пакеты, где ip источника будет ip адрес локальной сети.
Пример 3.