windump/tcpdump

Дампим все пакетики в файл:
windump -ni 3 -s 0 -w d:\dump1.txt port 67 or port 68
Ключ -s 0 отключает ограничение на размер пакета. Без него дампится только первые 68 байт.
Ключ -C [число мегабайт] включает автоматическую ротацию файл дампа. По достиженни числа мегабайт будет создан новый файл.
Прочие примеры:
tcpdump -n host 192.168.0.20 and port 80

Tcpdump может работать не только с сетевыми интерфейсами, но и с pcap файлами. Это удобно для разбиения одного файла на несколько маленьких или для фильтрации нужных пакетов из файла.
tcpdump -r bigdump -w smalldump -C 1 – разделит bigdump на много smalldump размером по 1 мб.

Дамп в файл с ежечасной ротацией:
tcpdump -pni eth0 -s 0 icmp -G 3600 -w '/tmp/icmp-cap-%Y-%m-%d_%H-%M-%S.pcap'

Полезные фильтры:
tcpdump -i eth1 ‘tcp[20:4] = 0x47455420’ – фильтрация GET запросов

Advertisements

One thought on “windump/tcpdump

  1. ага.. и дампим первые 56 октетов каждого пакета.
    windump -s 0 –”–

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s