tcpdumpの続き

1年以上前のエントリでtcpdumpについて
触れましたが、そこに
作成過程のため増殖（追記）予定あり
と書いてあったのに増殖していないぞ！
とのクレームがありました。。。。
もちろん口の悪い友人の一人が
クレーマーであります。。。

すっかり忘れていましたが読み返すと
tcpdump -i eth1 -c 10
と-tオプションの本当にサワリだけですね。
しかもしっかりと増殖（追記）予定ありと
なっていました。。。

実はキャプチャしているインターフェースが
リモートのためにsshで接続している場合などは
接続に関するパッケットのやりとりが頻繁に行われるため
接続しているだけでものすごい量が表示されます。

そんな時に使うのがフィルタです。
iftopコマンドに-P（プロトコル表示）オプションで
表示させている時に、やけにDomainが多くて気になった
時などは、

# tcpdump dst port 53

とすることで送信するパッケットを監視します。
受信は

# tcpdump src port 53

となります。

これだけでは永遠にキャプチャし続けるので、前に
説明した-cオプションでキャプチャするパッケット数を
指定したり、ディフォルトのインターフェイスeth0と
異なる場合は-iオプションを使用します。

# tcpdump -i eth3 -c 1000 dst port 53

こんな感じでしょうか。

dst port 53 or dst port 80

みたいに or で複数の指定も可能です。

-iの代わりに　net 192.168.0.* も使えます。

# tcpdump net 192.168.1.* -c 1000 dst port 53

net 192.168.1.0 mask 255.255.255.0
や
net 192.168.1.0/24 でもOKです。

あまり見ないと思うけどサーバ自身を表示させるときは
ループバックインターフェイス lo を指定すればOKです。

# tcpdump -i lo

-Xオプションでパケットの中身を確認・・・
やめたほうが良いでしょう。

# tcpdump -X dst port 53

0x0000: 4500 0225 0721 0000 3711 5dbc cb8d 8021 E..%.!..7.]….!

こんなのが何十行か表示されるけど解読できん。。。

オプションはまだまだありますが本日はこのへんで。。。
ってまた続きがないぞ！って怒られるかな？（笑