tcpdumpコマンドは、指定したネットワークインターフェイスを監視、そこに到達したデータをコンソール上に表示する。
暗号化されていないパスワードなどは平分で流されるため、tcpdumpでネットワークを監視されていると、アカウント情報を盗まれてしまう可能性がある。
一方、不振な挙動をしているプログラムがある場合、そのデータの送信先を解析する、と言った用途にも利用できる。
暗号化されていないパスワードなどは平分で流されるため、tcpdumpでネットワークを監視されていると、アカウント情報を盗まれてしまう可能性がある。
一方、不振な挙動をしているプログラムがある場合、そのデータの送信先を解析する、と言った用途にも利用できる。
tcpdump [オプション] [条件式]
tcpdumpコマンドの主なオプション
| オプション | 説明 |
| -i インターフェイス | 監視するインターフェイスを指定する |
| -s バイト数 | パケットから取り出すバイト数を指定する |
| -X | 16進数とASCII文字で表示する |
| -n | アドレスを名前解決せずに表示する |
| -N | ホストのドメイン名を表示しない |
| -l | 標準出力をバッファリングする |
| -t | 時刻を表示する |
| -v | 詳細に出力する |
| 条件式 | 説明 |
| port | ポート番号を指定する |
| proto | プロトコルを指定 |
次の例は53番ポートへのアクセスの表示例。
クライアント側は172.16.0.5で1029番ポートを使用し、DNSサーバ172.16.0.1へ名前解決の問い合わせをしていることが分かる。
クライアント側は172.16.0.5で1029番ポートを使用し、DNSサーバ172.16.0.1へ名前解決の問い合わせをしていることが分かる。
# tcpdump -nli eth0 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on lo, link-type EN10MB (Ethenet), capture size 96 bytes 17:22:30:623188 IP 172.16.0.5.1029 > 172.16.0.1.1029:domain 18259+ A? lpic.example.jp. (33) 17:22:30:624005 IP 172.16.0.1.domain > 172.16.0.5.1029: 18259* 1/1/1 A 127.16.0.3 (86) 17:22:30:522276 IP 172.16.0.5.1029 > 172.16.0.1.1029:domain 24980+ A? myhost.example.jp. (33) 17:22:30:522971 IP 172.16.0.1.domain > 172.16.0.5.1029: 24980* 1/1/0 A 127.10.0.1 (86)
- Xオプションを使うと、16進数とASCII文字で通信内容を表示する。
次の例では、53番ポートの通信内容を表示している。
# tcpdump -X -i eth0 -n port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethenet), capture size 96 bytes
17:23:35:657227 IP 172.0.0.1.1029 > 172.0.0.1.1029:domain 4765+ A? lpic.example.jp. (33)
0x0000: 4500 003d 0000 4000 4011 3cae 7f00 0001 E..=..@.@.<.....
0x0010: 7f00 0001 0405 0035 0029 fe3c 129d 0100 .......5.).<....
0x0020: 0001 0000 0000 0000 046c 7069 6307 6578 .........lpic.ex
0x0030: 616d 706c 6502 6a70 0000 0100 01 ample.jp.....
17:23:65:658146 IP 172.0.0.1.1029 > 172.0.0.1.1029:1029 4765* 1/1/1 A 172.16.0.3 (33)
0x0000: 4500 0072 0005 4000 4011 3c74 7f00 0001 E..=..@.@.<t....
0x0010: 7f00 0001 0035 0405 005e fe71 129d 8580 .....5...^.q....
0x0020: 0001 0001 0001 0001 046c 7069 6307 6578 .........lpic.ex
0x0030: 616d 706c 6502 6a70 0000 0100 01c0 0c00 ample.jp........
0x0040: 0100 0100 0151 8000 04ac 1000 03ca 1100 .....Q..........
0x0050: 0200 ..
