tcpdump


※上記の広告は60日以上更新のないWIKIに表示されています。更新することで広告が下部へ移動します。

tcpdumpコマンドは、指定したネットワークインターフェイスを監視、そこに到達したデータをコンソール上に表示する。
暗号化されていないパスワードなどは平分で流されるため、tcpdumpでネットワークを監視されていると、アカウント情報を盗まれてしまう可能性がある。
一方、不振な挙動をしているプログラムがある場合、そのデータの送信先を解析する、と言った用途にも利用できる。

tcpdump [オプション] [条件式]

tcpdumpコマンドの主なオプション
オプション 説明
-i インターフェイス 監視するインターフェイスを指定する
-s バイト数 パケットから取り出すバイト数を指定する
-X 16進数とASCII文字で表示する
-n アドレスを名前解決せずに表示する
-N ホストのドメイン名を表示しない
-l 標準出力をバッファリングする
-t 時刻を表示する
-v 詳細に出力する

条件式 説明
port ポート番号を指定する
proto プロトコルを指定

次の例は53番ポートへのアクセスの表示例。
クライアント側は172.16.0.5で1029番ポートを使用し、DNSサーバ172.16.0.1へ名前解決の問い合わせをしていることが分かる。
# tcpdump -nli eth0 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethenet), capture size 96 bytes
17:22:30:623188 IP 172.16.0.5.1029 > 172.16.0.1.1029:domain 18259+ A? lpic.example.jp. (33)
17:22:30:624005 IP 172.16.0.1.domain > 172.16.0.5.1029: 18259* 1/1/1 A 127.16.0.3 (86)
17:22:30:522276 IP 172.16.0.5.1029 > 172.16.0.1.1029:domain 24980+ A? myhost.example.jp. (33)
17:22:30:522971 IP 172.16.0.1.domain > 172.16.0.5.1029: 24980* 1/1/0 A 127.10.0.1 (86)

  • Xオプションを使うと、16進数とASCII文字で通信内容を表示する。
次の例では、53番ポートの通信内容を表示している。
# tcpdump -X -i eth0 -n port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethenet), capture size 96 bytes
17:23:35:657227 IP 172.0.0.1.1029 > 172.0.0.1.1029:domain 4765+ A? lpic.example.jp. (33)
    0x0000:  4500 003d 0000 4000 4011 3cae 7f00 0001  E..=..@.@.<.....
    0x0010:  7f00 0001 0405 0035 0029 fe3c 129d 0100  .......5.).<....
    0x0020:  0001 0000 0000 0000 046c 7069 6307 6578  .........lpic.ex
    0x0030:  616d 706c 6502 6a70 0000 0100 01          ample.jp.....
17:23:65:658146 IP 172.0.0.1.1029 > 172.0.0.1.1029:1029 4765* 1/1/1 A 172.16.0.3 (33)
    0x0000:  4500 0072 0005 4000 4011 3c74 7f00 0001  E..=..@.@.<t....
    0x0010:  7f00 0001 0035 0405 005e fe71 129d 8580  .....5...^.q....
    0x0020:  0001 0001 0001 0001 046c 7069 6307 6578  .........lpic.ex
    0x0030:  616d 706c 6502 6a70 0000 0100 01c0 0c00  ample.jp........
    0x0040:  0100 0100 0151 8000 04ac 1000 03ca 1100  .....Q..........
    0x0050:  0200                                        ..
|新しいページ|検索|ページ一覧|RSS|@ウィキご利用ガイド | 管理者にお問合せ
|ログイン|