tcpdumpの続き
1年以上前のエントリでtcpdumpについて
触れましたが、そこに
作成過程のため増殖(追記)予定あり
と書いてあったのに増殖していないぞ!
とのクレームがありました。。。。
もちろん口の悪い友人の一人が
クレーマーであります。。。
すっかり忘れていましたが読み返すと
tcpdump -i eth1 -c 10
と-tオプションの本当にサワリだけですね。
しかもしっかりと増殖(追記)予定ありと
なっていました。。。
実はキャプチャしているインターフェースが
リモートのためにsshで接続している場合などは
接続に関するパッケットのやりとりが頻繁に行われるため
接続しているだけでものすごい量が表示されます。
そんな時に使うのがフィルタです。
iftopコマンドに-P(プロトコル表示)オプションで
表示させている時に、やけにDomainが多くて気になった
時などは、
# tcpdump dst port 53
とすることで送信するパッケットを監視します。
受信は
# tcpdump src port 53
となります。
これだけでは永遠にキャプチャし続けるので、前に
説明した-cオプションでキャプチャするパッケット数を
指定したり、ディフォルトのインターフェイスeth0と
異なる場合は-iオプションを使用します。
# tcpdump -i eth3 -c 1000 dst port 53
こんな感じでしょうか。
dst port 53 or dst port 80
みたいに or で複数の指定も可能です。
-iの代わりに net 192.168.0.* も使えます。
# tcpdump net 192.168.1.* -c 1000 dst port 53
net 192.168.1.0 mask 255.255.255.0
や
net 192.168.1.0/24 でもOKです。
あまり見ないと思うけどサーバ自身を表示させるときは
ループバックインターフェイス lo を指定すればOKです。
# tcpdump -i lo
-Xオプションでパケットの中身を確認・・・
やめたほうが良いでしょう。
# tcpdump -X dst port 53
0x0000: 4500 0225 0721 0000 3711 5dbc cb8d 8021 E..%.!..7.]….!
こんなのが何十行か表示されるけど解読できん。。。
オプションはまだまだありますが本日はこのへんで。。。
ってまた続きがないぞ!って怒られるかな?(笑
最近のコメント