Tcpdump¶

Referanslar¶

tcpdump güçlü bir ağ paket analiz aracıdır.

Resmi site: https://www.tcpdump.org/

pcap okuma:¶

$ tcpdump -r file.pcap

Paket filtreleme sözdizimi¶

Hedef/kaynak IP'lerini ve bağlantı noktalarını filtrelemek:

$ tcpdump -n src host 172.16.40.10 -r file.pcap
$ tcpdump -n dst host 172.16.40.10 -r file.pcap
$ tcpdump -n port 81 -r file.pcap

sözdizimin tamamı için : Pcap-filter

TCP bayrakları¶

Tcpflags S (SYN), F (FIN), P (PUSH), R (RST), U (URG), W (ECN CWR), E (ECN-Echo) veya . (ACK) herhangi bir bayrak ayarlanmadıysa 'none' (yok) seçeneğini belirleyin.

Örneğin: tcp [13], tcp [tcpflags] ile değiştirilebilir. Yan taraftaki TCP bayrakları da kullanılabilir: tcp-fin,tcp-syn, tcp-rst,tcp-push, tcp-ack,tcp-urg.

Örneğin: Yerel olmayan bir ana makineyi içeren her TCP ileti dizisinin başlangıç ve bitiş paketlerini (SYN ve FIN paketlerini) yazdırmak için.

$ tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet
$ tcpdump 'tcp[13] = 3 and not src and dst net localnet'

ACK veya PSH ile ilgili başka bir örnek:

$ tcpdump 'tcp[tcpflags] & (tcp-ack|tcp-push) != 0 and not src and dst net localnet
$ tcpdump 'tcp[13] = 24 and not src and dst net localnet'

Not: Birden fazla bayrak olduğunda, (=) yerine (VE) yerine = yerine == kullanılabilir.

Bayrak sıralaması:

|C|E|U|A|P|R|S|F|
|---------------|
|0 0 0 0 0 0 0 0|
|---------------|
|7 6 5 4 3 2 1 0|

TCP başlıkları¶

0                            15                              31
-----------------------------------------------------------------
|          source port          |       destination port        |
-----------------------------------------------------------------
|                        sequence number                        |
-----------------------------------------------------------------
|                     acknowledgment number                     |
-----------------------------------------------------------------
|  HL   | rsvd  |C|E|U|A|P|R|S|F|        window size            |
-----------------------------------------------------------------
|         TCP checksum          |       urgent pointer          |
-----------------------------------------------------------------

Ayar¶

-n: Adresleri (yani ana bilgisayar adreslerini, bağlantı noktası numaralarını vb.) İsimlere dönüştürme.

Son Güncelleme: May 28, 2020