Утилита tcpdump встроена в МКСЗ «Diamond VPN/FW» и позволяет захватывать и прослушивать весь сетевой трафик, который проходит через устройство, записывать дамп сетевого трафика в формате pcap для дальнейшего анализа. Утилита позволяет осуществлять довольно гибкий поиск нужных полей и заголовков сетевого пакета.
Для работы с утилитой захвата сетевого трафика необходимо подключиться к устройству по протоколу ssh. Команда для запуска утилиты tcpdump состоит из нескольких частей:
Например, в команде «tcpdump –i eth1 –vvn icmp or udp» за опции отвечает часть «-i eth1 -vvn», за фильтр отвечает часть «icmp or udp».
Таблица Значения опций утилиты tcpdump
| Опция | Функция |
|---|---|
| -i | Задает сетевой интерфейс для прослушивания. |
| -v, -vv, -vvv | Задает уровни детализации при отображении информации о сетевом пакете |
| -q | Задает отображение минимального количества информации о сетевом пакете |
| -e | Задает отображение заголовка Ethernet |
| -t | Отключает отображение метки времени в каждой строке |
| -tt | Задает отображение неформатированной метки времени в каждой строке |
| -ttt | Задает отображение даты и времени |
| -n | Задает отображение ip-адреса вместо доменного имени хоста |
| -nn | Задает отображение ip-адреса и номера порта вместо имени хоста и названия протокола |
| -w | Задает режим записи в файл дампа сетевого трафика |
| -X | Задает отображение пакета в hex и ASCII формате |
| -XX | Задает отображение пакета в hex и ASCII формате вместе с Ethernet заголовком |
| -с | Задает количество пакетов для захвата |
| -s | Задает количество байт в пакете для обработки утилитой |
Таблица Значения фильтров утилиты tcpdump
| Фильтр | Значение |
|---|---|
| host | Просмотр сетевого трафика на основе ip-адреса или имени хоста |
| src/dst | Просмотр сетевого трафика на основе адреса источника или назначения |
| net | Просмотр сетевого трафика на основе ip-адреса подсети |
| proto | Просмотр сетевого трафика на основе протокола 4 уровня стандартной сетевой модели (TCP/UDP/ICMP) |
| port | Просмотр сетевого трафика на основе номера сетевого порта |
| src/dst port | Просмотр сетевого трафика на основе сетевого порта источника или сетевого порта назначения |
| portrange | Просмотр сетевого трафика на основе диапазона сетевых портов |
| >, <, >=, ⇐ | Просмотр сетевого трафика на основе размера сетевого пакета |
| Логический оператор | Значение |
| and | Должны выполняться все условия, которые объединены этим логическим оператором |
| or | Должно выполняться одно из условия, которые объединены этим логическим оператором |
| not | Отрицание заданного условия |