概要
パケットキャプチャーをするためのコマンドの使い方~中級編~
大量に流れているパケットの中で特定ホストの特定ポートだけパケットをキャプチャしたいという場合にパケットフィルタを用いてバケットキャプチャを実施する。
tcpdump 条件式
| オプション | 内容 |
| dst host HOST | パケットの宛先ホストがHOSTであれば真 |
| src host HOST | パケットの送信元ホストがHOSTであれば真 |
| host HOST | パケットの宛先もしくは送信元ホストがHOSTであれば真 |
| ether dst EHOST | Ethernetの宛先アドレスがEHOSTであれば真 |
| ether src EHOST | Ethernetの送信元アドレスがEHOSTであれば真 |
| ether host EHOST | Ethernetの宛先または送信元アドレスがEHOSTであれば真 |
| gateway HOST | パケットのゲートウェイがHOSTであれば真 |
| dst net net | パケットの宛先アドレスがネットワークNETを含んでいれば真 |
| src net net | パケットの送信元アドレスがネットワークNETを含んでいれば真 |
| net NET | パケットの宛先または送信元アドレスがネットワークNETを含んでいれば真 |
| net NET mask MASK | パケットのアドレスをMASKでマスクしてNETになれば真 |
| dst port PORT | 宛先ポートがPORTであれば真 |
| src port PORT | 送信元ポートがPORTであれば真 |
| port PORT | 宛先もしくは送信元ポートがPORTであれば真 |
| less LENGTH | パケット長がLENGTH以下であれば真 |
| greater LENGTH | パケット長がLENGTH以上であれば真 |
| [ip proto] PROTOCOL | IPパケットのプロトコルがPROTOCOL(tcp, udp, icmp)であれば真 |
| [ip6 proto] PROTOCOL | IPv6パケットのプロトコルがPROTOCOL(tcp, udp, icmp)であれば真 |
| ether broadcast | パケットがEthernetのブロードキャストであれば真 |
| ip broadcast | パケットがIPブロードキャストであれば真 |
| ether multicast | パケットがEthernetのマルチキャストであれば真 |
| ip multicast | パケットがIPマルチキャストであれば真 |
| ip6 multicast | パケットがIPv6マルチキャストであれば真 |
| [ether proto] PROTOCOL | EthernetのプロトコルがPROTOCOL(ip、ip6、arp、rarp)であれば真 |
tcpdump中級編
条件指定
192.168.30.100のホストにかかわるすべての入出力パケットを表示する
# tcpdump host 192.168.30.100
80番ポート宛のパケットを表示する
# tcpdump dst port 80
ホスト192.168.30.100の80番ポート宛のパケットを表示する
# tcpdump dst port 80 and host dst 192.168.30.100
参考リンク
tcpdumpの使い方
【tcpdump】ネットワークトラフィックをダンプ出力する
ありがとうございます
コメント