Ниже приведены примеры использования оригинального tcpdump в среде *nix и аналогичные команды TCPDUMP for Windows (tcpdump.exe) с указанием особенностей синтаксиса при запуске в средах:
- Windows Subsystem for Linux
- CMD.EXE
- PowerShell
В среде Windows Subsystem for Linux рекомендуем использовать TCPDUMP for Windows, так как на данный момент оригинальный tcpdump не работает в WSL. При запуске возникает ошибка: tcpdump: socket: Invalid argument:
user@computer ~ $ date Mon Jun 11 20:38:07 STD 2018 user@computer ~ $ uname -a Linux computer 4.4.0-17134-Microsoft #81-Microsoft Sun May 20 01:14:00 PST 2018 x86_64 x86_64 x86_64 GNU/Linux user@computer ~ $ cat /etc/issue Ubuntu 16.04.4 LTS \n \l user@computer ~ $ tcpdump --version tcpdump version 4.9.2 libpcap version 1.7.4 OpenSSL 1.0.2g 1 Mar 2016 user@computer ~ $ tcpdump -i3 tcpdump: socket: Invalid argument
В средах PowerShell и CMD.EXE вместо tcpdump.exe допустимо использовать имя исполняемого файла без расширения – tcpdump. В среде Windows Subsystem for Linux необходимо использовать полное имя исполняемого файла – tcpdump.exe.
Для объединения части команды в один аргумент в примерах используются двойные кавычки ". В среде CMD.EXE для этой цели можно использовать только их, в средах *nix, PowerShell, Windows Subsystem for Linux также можно использовать одинарные кавычки '.
| Вывести список сетевых интерфейсов, доступных системе | |
| *nix $ | tcpdump -D |
| WSL $ | tcpdump.exe -D |
| CMD > | tcpdump.exe -D |
| PS > | tcpdump.exe -D |
Выводится список доступных сетевых интерфейсов. В Windows нет интерфейса any, объединяющего трафик со всех интерфейсов. Если запустить tcpdump.exe без указания прослушиваемого интерфейса, то прослушиваться будет первый обнаруженный. |
|
| Указать сетевой интерфейс для прослушивания трафика по номеру интерфейса | |
| *nix $ | tcpdump -i <номер_интерфейса> |
| WSL $ | tcpdump.exe -i <номер_интерфейса> |
| CMD > | tcpdump.exe -i <номер_интерфейса> |
| PS > | tcpdump.exe -i <номер_интерфейса> |
В Windows имена интерфейсов могут быть очень длинными, например:
C:\>tcpdump -D
1.\Device\NdisWanBh (WAN Miniport (Network Monitor))
2.\Device\{1F361AA0-9606-4422-836B-8D2465C812B6} (Realtek RTL8169/8110 Family Gigabit Ethernet NIC)
Вариант команды |
|
| *nix $ | tcpdump -ttttnnvvS |
| WSL $ | tcpdump.exe -ttttnnvvS |
| CMD > | tcpdump.exe -ttttnnvvS |
| PS > | tcpdump.exe -ttttnnvvS |
| Вывод IP-адреса и номер порта, временных меток в формате по умолчанию, дополнительное увеличение объема выводимой информации и порядковые номера для каждой строки дампа. | |
| *nix $ | tcpdump -nnvXSs 0 -c1 icmp |
| WSL $ | tcpdump.exe -nnvXSs 0 -c1 icmp |
| CMD > | tcpdump.exe -nnvXSs 0 -c1 icmp |
| PS > | tcpdump.exe -nnvXSs 0 -c1 icmp |
| Вывод дополнительной информации (TTL, идентификация, общий размер, опции IP, контрольные суммы и т.п.) о пакете ICMP и отображение его в шестнадцатеричном виде. | |
| *nix $ | tcpdump -w capture_file.pcap |
| WSL $ | tcpdump.exe -w capture_file.pcap |
| CMD > | tcpdump.exe -w capture_file.pcap |
| PS > | tcpdump.exe -w capture_file.pcap |
| Запись трафика в PCAP-файл. | |
| *nix $ | tcpdump -r capture_file.pcap |
| WSL $ | tcpdump.exe -r capture_file.pcap |
| CMD > | tcpdump.exe -r capture_file.pcap |
| PS > | tcpdump.exe -r capture_file.pcap |
| Чтение трафика из PCAP-файла. | |
| *nix $ | tcpdump -C <размер_файла> -w <имя_файла> |
| WSL $ | tcpdump.exe -C <размер_файла> -w <имя_файла> |
| CMD > | tcpdump.exe -C <размер_файла> -w <имя_файла> |
| PS > | tcpdump.exe -C <размер_файла> -w <имя_файла> |
Задает проверку на размер файла перед записью каждого пакета. Если размер превышает значение заданного параметра, то tcpdump создает новый файл с префиксом в конце имени файла. <размер_файла> задаёт размер файла в 1 000 000 байт (не 1 048 576 байт). |
|
| *nix $ | tcpdump –r packets.pcap "tcp dst port 80" –w http_packets.pcap |
| WSL $ | tcpdump.exe –r packets.pcap "tcp dst port 80" –w http_packets.pcap |
| CMD > | tcpdump.exe –r packets.pcap "tcp dst port 80" –w http_packets.pcap |
| PS > | tcpdump.exe –r packets.pcap "tcp dst port 80" –w http_packets.pcap |
Объединение параметров -r и -w дает возможность отфильтровать данный PCAP-файл в новый PCAP-файл |
|
| *nix $ | tcpdump -A |
| WSL $ | tcpdump.exe -A |
| CMD > | tcpdump.exe -A |
| PS > | tcpdump.exe -A |
| Отображать отправленные и полученные пакеты в ASCII-формате. | |
| *nix $ | tcpdump -l |
| WSL $ | tcpdump.exe -l |
| CMD > | tcpdump.exe -l |
| PS > | tcpdump.exe -l |
Вывод в stdout построчно для каждого пакета, иначе вывод происходит через буфер в 4096 байт. Удобно использовать с утилитой grep (Linux, Windows Subsystem for Linux), FINDSTR (CMD.EXE) или Select-String (PowerShell). |
|
| *nix $ | tcpdump portrange 21-23 |
| WSL $ | tcpdump.exe portrange 21-23 |
| CMD > | tcpdump.exe portrange 21-23 |
| PS > | tcpdump.exe portrange 21-23 |
| Перехватывать трафик с указанного диапазона портов. | |
| *nix $ | tcpdump src port 443 |
| WSL $ | tcpdump.exe src port 443 |
| CMD > | tcpdump.exe src port 443 |
| PS > | tcpdump.exe src port 443 |
| Перехватывать трафик по номеру порта клиента. | |
| *nix $ | tcpdump dst port 443 |
| WSL $ | tcpdump.exe dst port 443 |
| CMD > | tcpdump.exe dst port 443 |
| PS > | tcpdump.exe dst port 443 |
| Перехватывать трафик по номеру порта сервера. | |
| *nix $ | tcpdump less 32 |
| WSL $ | tcpdump.exe less 32 |
| CMD > | tcpdump.exe less 32 |
| PS > | tcpdump.exe less 32 |
Перехватывать только пакеты размером менее 32 байт. |
|
| *nix $ | tcpdump greater 64 |
| WSL $ | tcpdump.exe greater 64 |
| CMD > | tcpdump.exe greater 64 |
| PS > | tcpdump.exe greater 64 |
Перехватывать только пакеты размером более 64 байт. |
|
| *nix $ | tcpdump -nnvvS src 10.5.2.3 and dst port 3389 |
| WSL $ | tcpdump.exe -nnvvS src 10.5.2.3 and dst port 3389 |
| CMD > | tcpdump.exe -nnvvS src 10.5.2.3 and dst port 3389 |
| PS > | tcpdump.exe -nnvvS src 10.5.2.3 and dst port 3389 |
Перехватывать трафик от 10.5.2.3 на порт назначения 3389. |
|
| *nix $ | tcpdump -nvX src net 10.100.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16 |
| WSL $ | tcpdump.exe -nvX src net 10.100.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16 |
| CMD > | tcpdump.exe -nvX src net 10.100.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16 |
| PS > | tcpdump.exe -nvX src net 10.100.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16 |
Перехватывать трафик из сети 10.100.0.0/16 в сеть 10.0.0.0/8 или 172.16.0.0/16. |
|
| *nix $ | tcpdump -nvvXSs 1514 dst google.com and src net 172.16.0.0 and not icmp |
| WSL $ | tcpdump.exe -nvvXSs 1514 dst google.com and src net 172.16.0.0 and not icmp |
| CMD > | tcpdump.exe -nvvXSs 1514 dst google.com and src net 172.16.0.0 and not icmp |
| PS > | tcpdump.exe -nvvXSs 1514 dst google.com and src net 172.16.0.0 and not icmp |
Перехватывать пакеты подсети 172.16.0.0 на google.com, исключая ICMP-пакеты. |
|
| *nix $ | tcpdump -vv src 192.168.1.81 and not dst port 22 |
| WSL $ | tcpdump.exe -vv src 192.168.1.81 and not dst port 22 |
| CMD > | tcpdump.exe -vv src 192.168.1.81 and not dst port 22 |
| PS > | tcpdump.exe -vv src 192.168.1.81 and not dst port 22 |
Перехватывать трафик, где адрес источника – 192.168.1.81, кроме того, который приходит на порт назначения 22 (SSH). |
|
| *nix $ | tcpdump -nnv -s1514 –C 100 host 10.81.25.201 -w `hostname`_`date +%Y-%m-%d-%H.%M`.pcap |
| WSL $ | tcpdump.exe -nnv -s1514 –C 100 host 10.81.25.201 -w `hostname`_`date +%Y-%m-%d-%H.%M`.pcap |
| CMD > | tcpdump.exe -nnv -s1514 –C 100 host 10.81.25.201 -w %computername%_%date%_%time:~0,2%.%time:~3,2%.pcap |
| PS > | tcpdump.exe -nnv -s1514 –C 100 host 10.81.25.201 -w $(HOSTNAME)_$(Get-Date -format d).pcap |
Перехватывать трафик по хосту 10.81.25.201, записать в файл (в файл включается название хоста машины и дата, что очень удобно для дальнейшего хранения). |
|
| *nix $ | tcpdump ether broadcast |
| WSL $ | tcpdump.exe ether broadcast |
| CMD > | tcpdump.exe ether broadcast |
| PS > | tcpdump.exe ether broadcast |
| Перехватывать все Broadcast-пакеты. | |
| *nix $ | tcpdump ether host aa:bb:cc:11:22:33 |
| WSL $ | tcpdump.exe ether host aa:bb:cc:11:22:33 |
| CMD > | tcpdump.exe ether host aa:bb:cc:11:22:33 |
| PS > | tcpdump.exe ether host aa:bb:cc:11:22:33 |
| Фильтрация по MAC-адресу. | |
| *nix $ | tcpdump "tcp[13] & 32 != 0" |
| WSL $ | tcpdump.exe "tcp[13] & 32 != 0" |
| CMD > | tcpdump.exe "tcp[13] & 32 != 0" |
| PS > | tcpdump.exe "tcp[13] & 32 != 0" |
| Перехватывать пакеты URGENT (URG). | |
| *nix $ | tcpdump "tcp[13] & 16 != 0" |
| WSL $ | tcpdump.exe "tcp[13] & 16 != 0" |
| CMD > | tcpdump.exe "tcp[13] & 16 != 0" |
| PS > | tcpdump.exe "tcp[13] & 16 != 0" |
| Перехватывать все ACKNOWLEDGE пакеты (ACK). | |
| *nix $ | tcpdump "tcp[13] & 8 != 0" |
| WSL $ | tcpdump.exe "tcp[13] & 8 != 0" |
| CMD > | tcpdump.exe "tcp[13] & 8 != 0" |
| PS > | tcpdump.exe "tcp[13] & 8 != 0" |
| Перехватывать все PUSH пакеты (PSH). | |
| *nix $ | tcpdump "tcp[13] & 4 != 0" |
| WSL $ | tcpdump.exe "tcp[13] & 4 != 0" |
| CMD > | tcpdump.exe "tcp[13] & 4 != 0" |
| PS > | tcpdump.exe "tcp[13] & 4 != 0" |
| Перехватывать все RESET пакеты (RST). | |
| *nix $ | tcpdump "tcp[tcpflags] == tcp-rst" |
| WSL $ | tcpdump.exe "tcp[tcpflags] == tcp-rst" |
| CMD > | tcpdump.exe "tcp[tcpflags] == tcp-rst" |
| PS > | tcpdump.exe "tcp[tcpflags] == tcp-rst" |
| Перехватывать все RESET пакеты (RST) (другая интерпретация). | |
| *nix $ | tcpdump "tcp[13] & 2 != 0" |
| WSL $ | tcpdump.exe "tcp[13] & 2 != 0" |
| CMD > | tcpdump.exe "tcp[13] & 2 != 0" |
| PS > | tcpdump.exe "tcp[13] & 2 != 0" |
| Перехватывать все SYNCHRONIZE пакеты (SYN). | |
| *nix $ | tcpdump "tcp[tcpflags] == tcp-syn" |
| WSL $ | tcpdump.exe "tcp[tcpflags] == tcp-syn" |
| CMD > | tcpdump.exe "tcp[tcpflags] == tcp-syn" |
| PS > | tcpdump.exe "tcp[tcpflags] == tcp-syn" |
| Перехватывать все SYNCHRONIZE пакеты (SYN) (другая интерпретация). | |
| *nix $ | tcpdump "tcp[13] & 1 != 0" |
| WSL $ | tcpdump.exe "tcp[13] & 1 != 0" |
| CMD > | tcpdump.exe "tcp[13] & 1 != 0" |
| PS > | tcpdump.exe "tcp[13] & 1 != 0" |
| Перехватывать все FINISH (FIN) пакеты. | |
| *nix $ | tcpdump "tcp[tcpflags] == tcp-fin" |
| WSL $ | tcpdump.exe "tcp[tcpflags] == tcp-fin" |
| CMD > | tcpdump.exe "tcp[tcpflags] == tcp-fin" |
| PS > | tcpdump.exe "tcp[tcpflags] == tcp-fin" |
| Перехватывать все FINISH (FIN) пакеты (другая интерпретация). | |
| *nix $ | tcpdump "tcp[13] = 18" |
| WSL $ | tcpdump.exe "tcp[13] = 18" |
| CMD > | tcpdump.exe "tcp[13] = 18" |
| PS > | tcpdump.exe "tcp[13] = 18" |
| Перехватывать все SYNCHRONIZE- / ACKNOWLEDGE-пакеты (SYNACK). | |
| *nix $ | tcpdump "tcp[13] = 6" |
| WSL $ | tcpdump.exe "tcp[13] = 6" |
| CMD > | tcpdump.exe "tcp[13] = 6" |
| PS > | tcpdump.exe "tcp[13] = 6" |
| Перехватывать пакеты с обычными комплектами RST и SYN. | |
| *nix $ | tcpdump "tcp[32:4] = 0x47455420" |
| WSL $ | tcpdump.exe "tcp[32:4] = 0x47455420" |
| CMD > | tcpdump.exe "tcp[32:4] = 0x47455420" |
| PS > | tcpdump.exe "tcp[32:4] = 0x47455420" |
| Перехватывать открытый текст HTTP и получить запрос. | |
| *nix $ | tcpdump "tcp[(tcp[12] >> 2):4] = 0x5353482D" |
| WSL $ | tcpdump.exe "tcp[(tcp[12] >> 2):4] = 0x5353482D" |
| CMD > | tcpdump.exe "tcp[(tcp[12] >> 2):4] = 0x5353482D" |
| PS > | tcpdump.exe "tcp[(tcp[12] >> 2):4] = 0x5353482D" |
| Перехватывать SSH-соединение на любой порт. | |
| *nix $ | tcpdump "ip[8] < 10" |
| WSL $ | tcpdump.exe "ip[8] < 10" |
| CMD > | tcpdump.exe "ip[8] < 10" |
| PS > | tcpdump.exe "ip[8] < 10" |
Перехватывать пакеты с TTL меньше 10. |
|
| *nix $ | tcpdump "ip[6] & 128 != 0" |
| WSL $ | tcpdump.exe "ip[6] & 128 != 0" |
| CMD > | tcpdump.exe "ip[6] & 128 != 0" |
| PS > | tcpdump.exe "ip[6] & 128 != 0" |
| Перехватывать пакеты с установкой EVILBIT. | |
| *nix $ | tcpdump "ether[0] & 1 = 0 and ip[2:2] > 576" |
| WSL $ | tcpdump.exe "ether[0] & 1 = 0 and ip[2:2] > 576" |
| CMD > | tcpdump.exe "ether[0] & 1 = 0 and ip[2:2] > 576" |
| PS > | tcpdump.exe "ether[0] & 1 = 0 and ip[2:2] > 576" |
| Перехватывать широковещательные и групповые пакеты, которые не были переданы с использованием широковещательных и групповых адресов Ethernet. | |
| *nix $ | tcpdump "port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420" |
| WSL $ | tcpdump.exe "port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420" |
| CMD > | tcpdump.exe "port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420" |
| PS > | tcpdump.exe "port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420" |
| Перехватывать HTTP GET-запросы. | |
| *nix $ | tcpdump proto 11 |
| WSL $ | tcpdump.exe proto 11 |
| CMD > | tcpdump.exe proto 11 |
| PS > | tcpdump.exe proto 11 |
| Перехватывать Network Voice Protocol. | |
| *nix $ | tcpdump -XX -s 0 port 23 |
| WSL $ | tcpdump.exe -XX -s 0 port 23 |
| CMD > | tcpdump.exe -XX -s 0 port 23 |
| PS > | tcpdump.exe -XX -s 0 port 23 |
| Перехватывать все Telnet-сессии. | |
| *nix $ | tcpdump -T snmp |
| WSL $ | tcpdump.exe -T snmp |
| CMD > | tcpdump.exe -T snmp |
| PS > | tcpdump.exe -T snmp |
| Перехватывать все SNMP-сессии. | |
| *nix $ | tcpdump -ttttxnqs 65535 port 3306 |
| WSL $ | tcpdump.exe -ttttxnqs 65535 port 3306 |
| CMD > | tcpdump.exe -ttttxnqs 65535 port 3306 |
| PS > | tcpdump.exe -ttttxnqs 65535 port 3306 |
Перехватывать все MySQL-сессии на порт 3306. |
|
| *nix $ | tcpdump port 53 |
| WSL $ | tcpdump.exe port 53 |
| CMD > | tcpdump.exe port 53 |
| PS > | tcpdump.exe port 53 |
Перехватывать все DNS-запросы на порт 53. |
|
| *nix $ | tcpdump ether proto 0x888e |
| WSL $ | tcpdump.exe ether proto 0x888e |
| CMD > | tcpdump.exe ether proto 0x888e |
| PS > | tcpdump.exe ether proto 0x888e |
| Перехватывать пакеты Ethernet type EAPOL. | |
| *nix $ | tcpdump -i <номер_интерфейса> -p |
| WSL $ | tcpdump.exe -i <номер_интерфейса> -p |
| CMD > | tcpdump.exe -i <номер_интерфейса> -p |
| PS > | tcpdump.exe -i <номер_интерфейса> -p |
Указать программе, что не нужно переводить интерфейс в режим захвата. Нельзя использовать опцию -p с фильтром ether host . |
|
| *nix $ | tcpdump net <имя_сети> |
| WSL $ | tcpdump.exe net <имя_сети> |
| CMD > | tcpdump.exe net <имя_сети> |
| PS > | tcpdump.exe net <имя_сети> |
| Перехватывать исходящий и входящий трафик в конкретной сети. | |
| *nix $ | tcpdump "tcp[tcpflags] & (tcp-syn | tcp-fin) != 0 and not src and dst net 127.0.0.1" |
| WSL $ | tcpdump.exe "tcp[tcpflags] & (tcp-syn | tcp-fin) != 0 and not src and dst net 127.0.0.1" |
| CMD > | tcpdump.exe "tcp[tcpflags] & (tcp-syn | tcp-fin) != 0 and not src and dst net 127.0.0.1" |
| PS > | tcpdump.exe "tcp[tcpflags] & (tcp-syn | tcp-fin) != 0 and not src and dst net 127.0.0.1" |
| Перехватывать начальные и конечные пакеты (SYN и FIN-пакеты) для каждого tcp-соединения, исключая локальный хост. | |
| *nix $ | tcpdump "tcp port 80 and (((ip[2:2] – ((ip[0] & 0xf) << 2)) – ((tcp[12] & 0xf0) >> 2)) != 0)" |
| WSL $ | tcpdump.exe "tcp port 80 and (((ip[2:2] – ((ip[0] & 0xf) << 2)) – ((tcp[12] & 0xf0) >> 2)) != 0)" |
| CMD > | tcpdump.exe "tcp port 80 and (((ip[2:2] – ((ip[0] & 0xf) << 2)) – ((tcp[12] & 0xf0) >> 2)) != 0)" |
| PS > | tcpdump.exe "tcp port 80 and (((ip[2:2] – ((ip[0] & 0xf) << 2)) – ((tcp[12] & 0xf0) >> 2)) != 0)" |
Перехватывать все IPv4 HTTP-пакеты на порт и из порта 80, то есть только пакеты с данными (отфильтровать, например, SYN, FIN и ACK-пакеты). |
|
| *nix $ | tcpdump dst 10.100.0.81 and src net 10.100.0.1 and not icmp |
| WSL $ | tcpdump.exe dst 10.100.0.81 and src net 10.100.0.1 and not icmp |
| CMD > | tcpdump.exe dst 10.100.0.81 and src net 10.100.0.1 and not icmp |
| PS > | tcpdump.exe dst 10.100.0.81 and src net 10.100.0.1 and not icmp |
Перехватывать пакеты на IP-адрес 10.100.0.81 из сети 10.100.0.1, отфильтровав ICMP-протокол. |
|
| *nix $ | tcpdump "udp[17] & 0xf == 3" |
| WSL $ | tcpdump.exe "udp[17] & 0xf == 3" |
| CMD > | tcpdump.exe "udp[17] & 0xf == 3" |
| PS > | tcpdump.exe "udp[17] & 0xf == 3" |
| Перехватывать все неудачные DNS-запросы. | |
| *nix $ | tcpdump -c 10000 -w outfile.pcap ((dst host w.x.y.z1 and not src host w.x.y.z2) and (dst port 8040 or dst port 8043 or dst port 8050 or dst port 8053)) and "tcp[tcpflags] & (tcp-syn | tcp-ack) != 0" |
| WSL $ | tcpdump.exe -c 10000 -w outfile.pcap ((dst host w.x.y.z1 and not src host w.x.y.z2) and (dst port 8040 or dst port 8043 or dst port 8050 or dst port 8053)) and "tcp[tcpflags] & (tcp-syn | tcp-ack) != 0" |
| CMD > | tcpdump.exe -c 10000 -w outfile.pcap ((dst host w.x.y.z1 and not src host w.x.y.z2) and (dst port 8040 or dst port 8043 or dst port 8050 or dst port 8053)) and "tcp[tcpflags] & (tcp-syn | tcp-ack) != 0" |
| PS > | tcpdump.exe -c 10000 -w outfile.pcap ((dst host w.x.y.z1 and not src host w.x.y.z2) and (dst port 8040 or dst port 8043 or dst port 8050 or dst port 8053)) and "tcp[tcpflags] & (tcp-syn | tcp-ack) != 0" |
Запись в файл outfile.pcap текущего каталога всех SYN-, ACK-пакетов (в количестве 10000), отправленных на w.x.y.z1 с портов 8040, 8043, 8050 или 8053, кроме пакетов, принимаемых с w.x.y.z2. Этот фильтр не перехватывает SYN/ACK, отправленные с сервера на клиент – только инициализацию SYN- и SYN/ACK с клиента, а также все остальные ACK-пакеты от клиента. |
|
| *nix $ | tcpdump -i 6 "ip[0] & 15 > 5" |
| WSL $ | tcpdump.exe -i 6 "ip[0] & 15 > 5" |
| CMD > | tcpdump.exe -i 6 "ip[0] & 15 > 5" |
| PS > | tcpdump.exe -i 6 "ip[0] & 15 > 5" |
Перехватывать весь IP-трафик на интерфейсе 6 имеющий в первом байте (0) значение больше, чем пять с маской 15 (0000 1111). В реальности данный фильтр будет показывать весь IP-трафик с заголовками больше, чем 20 байт (5 x 32bit блоки данных заголовков = 160 бит -> 160/8=20). |
|
| *nix $ | tcpdump src net 67.207.148.0 mask 255.255.255.0 |
| WSL $ | tcpdump.exe src net 67.207.148.0 mask 255.255.255.0 |
| CMD > | tcpdump.exe src net 67.207.148.0 mask 255.255.255.0 |
| PS > | tcpdump.exe src net 67.207.148.0 mask 255.255.255.0 |
| Перехватывать входящий трафик из конкретной сети с указанием маски подсети. | |
| *nix $ | tcpdump src net 67.207.148.0/24 |
| WSL $ | tcpdump.exe src net 67.207.148.0/24 |
| CMD > | tcpdump.exe src net 67.207.148.0/24 |
| PS > | tcpdump.exe src net 67.207.148.0/24 |
| Перехватывать входящий трафик из конкретной сети в формате CIDR notation. | |
| *nix $ | tcpdump -len arp |
| WSL $ | tcpdump.exe -len arp |
| CMD > | tcpdump.exe -len arp |
| PS > | tcpdump.exe -len arp |
| Перехватывать все ARP-пакеты (broadcast и не только), не производить обратное разрешение имен (DNS-resolving). | |
| *nix $ | tcpdump -en port 67 or port 68 |
| WSL $ | tcpdump.exe -en port 67 or port 68 |
| CMD > | tcpdump.exe -en port 67 or port 68 |
| PS > | tcpdump.exe -en port 67 or port 68 |
| Перехватывать DHCP-пакеты. | |