Como ler esta man page do tcpdump?

Navegue suas respostas
3

Estou tentando usar o comando tcpdump em um projeto e tenho algumas dificuldades em entender a página de ajuda. 

SYNOPSIS
   tcpdump [ -AbdDefhgHIJKlLnNoOpPqRStuUvxX ] [ -B buffer_size ] [ -c
   count ]
           [ -C file_size ] [ -G rotate_seconds ] [ -F file ]
           [ -i interface ] [ -j tstamp_type ] [ -k (metadata_arg) ]
           [ -m module ] [ -M secret ]
           [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ]
           [ -W filecount ]
           [ -E spi@ipaddr algo:secret,...  ]
           [ -y datalinktype ] [ -z postrotate-command ] [ -Z user ]
           [ -Q packet-metadata-filter ]
           [ expression ]

Primeiro, o que é isso "[-AbdDefhgHIJKlLnNoOpPqRStuUvxX]" no topo? Qual é o significado disso ? Eu também vejo muita gente na internet fazendo coisas malucas com esse comando, por exemplo tcpdmp -nnvvXSs 1514 ... o que é isso -nnvvXSs, e como podemos saber que isso pode ser usado?

Eu vejo exemplos de códigos que, de acordo comigo, não correspondem à página man, eu não entendo como ler, como entender esse arquivo de ajuda.

Alguém me diz como ler isso e entender?

    
por phenetas 08.07.2015 / 00:50

3 respostas

2

Por convenção, os colchetes indicam algo que é opcional. Então você pode executar tcpdump , ou tcpdump -c 3 -i eth0 , ou tcpdump -c 3 -r /path/to/file , etc. Além disso, a menos que explicitamente indicado, opções podem ser usadas em qualquer ordem, então você pode executar tcp -i eth0 -c 3 , etc.

A maioria dos comandos permite que as opções sejam agrupadas quando usam uma única letra. Por exemplo, tcpdump -AX é equivalente a tcpdump -A -X . O manual agrupa todas as opções que não aceitam argumentos para tornar a apresentação mais curta: [ -Abd ] seria um atalho para [ -A ] [ -b ] [ -d ] , etc.

A sinopse é apenas um resumo. Leia a seção "descrição" ou "opções" para ver o que cada opção faz e com o que a palavra após cada opção pode ser substituída.

Por exemplo, tcpdmp -nnvvXSs 1514 é um equivalente mais curto de tcpdump -n -n -v -v -X -s -s 1514 e significa:

  • -n : não faça resolução de nomes. Repetir esta opção não tem efeito adicional.
  • -v : faz com que o tcpdump imprima mais coisas. Repetir esta opção faz com que imprima ainda mais coisas.
  • -X adiciona um dump do conteúdo de cada pacote à saída.
  • -S faz com que números absolutos de seqüência TCP sejam impressos.
  • -s 1514 faz com que apenas os primeiros 1514 bytes de cada pacote sejam capturados.
por 08.07.2015 / 03:14
1

você pode verificar as man pages rolando para baixo para obter mais detalhes sobre as opções 

root@ubuntu:~# man tcpdump

para pesquisar qualquer tipo de palavra-chave / palavra-chave e, em seguida, digite

Abaixo estão as opções mais comuns que você pode usar com o tcpdump.

  • -i any: ouça todas as interfaces apenas para ver se você está vendo algum tráfego.

  • -i eth0: Ouça na interface eth0.

  • -D: Mostra a lista de interfaces disponíveis

  • -n: não resolva nomes de host.

  • -nn: não resolva nomes de host ou nomes de portas.
  • -q: Seja menos detalhado (mais baixo) com sua saída.
  • -X: mostra o conteúdo do pacote em hexadecimal e ASCII.
  • -XX: O mesmo que -X, mas também mostra o cabeçalho da Ethernet.
  • -v, -vv, -vvv: Aumenta a quantidade de informações de pacotes que você recebe de volta.
  • -c: Obtém apenas x número de pacotes e depois pára. icmp: Só obtém pacotes ICMP.
  • -s: define o comprimento de snaplength (tamanho) da captura em bytes. Use -s0 para obter tudo, a menos que você esteja intencionalmente capturando menos.
  • -S: imprime números de sequência absoluta.
  • -e: também obtém o cabeçalho Ethernet.
  • -q: mostra menos informações de protocolo.
  • -E: descriptografar o tráfego IPSEC fornecendo uma chave de criptografia.

você pode verificar recursos on-line se você é novato na taxa Tcpdump Gratuito para verificar abaixo.

link

link

    
por 08.07.2015 / 00:55
1

Ok, eu posso começar a entender. Diga-me se estou certo.

Eu tentei isso no meu terminal sudo tcpdump -nnvvXeB 1024 host 10.11.204.15

Então, se eu entendi bem, -nnvvXeB 1024 é o mesmo que -nn -vv -X -e -B 1024 witch é o mesmo que -B 1024 -nn -X -e -vv witch é o mesmo que -B 1024 -nnXevv

Eles são outros "trocando" eu posso fazer com este comando?

Na página man existem diferentes categorias "NOME" "SINOPSE" "DESCRIÇÃO" "OPÇÕES" "FORMATO DE SAÍDA" etc ... Se bem entendi, os comandos em "SINOPSE" são todos comandos que precisam ser seguidos por argumentos (por exemplo -F precisam ser seguidos por um nome de arquivo, -i pelo nome de uma interface etc.), enquanto as coisas listados em "OPÇÕES" são apenas letras únicas que podem ser adicionadas sem argumento.

Estou certo? Obrigado

    
por 08.07.2015 / 02:01

Tags

Solaris 11 e zfs, não entendo o espaço usado Ver valor remoto de $ PATH dentro do shell script