how to use tcpdump - how to use tcpdump

cara-menggunakan-tcpdump

Perintah tcpdump adalah alat analisis paket jaringan terkenal yang digunakan untuk menampilkan TCPIP & paket jaringan lain yang dikirimkan melalui jaringan yang terhubung ke sistem tempat tcpdump diinstal. Tcpdump menggunakan perpustakaan libpcap untuk menangkap paket jaringan & tersedia di hampir semua varian Linux/Unix.

Linux Tcpdump: Filter paket ping ipv6 ntp

Tcpdump: menangkap paket DHCP & DHCPv6

20 Contoh Tcpdump Tingkat Lanjut Di Linux

10 Contoh perintah tcpdump yang berguna

TCPDUMP

BACA SAYA

Tcpdump adalah salah satu alat analisis jaringan terbaik untuk para profesional keamanan informasi. Tcpdump diperuntukkan bagi semua orang untuk peretas dan orang-orang yang kurang memahami TCP/IP.

OPSI

Di bawah ini adalah beberapa opsi tcpdump (dengan contoh berguna) yang akan membantu Anda bekerja dengan alat ini. Mereka sangat mudah untuk dilupakan dan/atau tertukar dengan jenis filter lainnya, yaitu ethereal, semoga artikel ini dapat menjadi referensi bagi Anda, begitu pula saya :)

Yang pertama adalah -n, yang meminta agar nama tidak diselesaikan, sehingga menghasilkan IP itu sendiri.
Yang kedua adalah -X, yang menampilkan konten hex dan ascii di dalam paket.
Yang terakhir adalah -S, yang mengubah tampilan nomor urut menjadi absolut, bukan relatif.

Tampilkan isi paket dalam hex dan ascii.

 tcpdump -X ....

Sama seperti -X, tetapi juga menampilkan header ethernet.

 tcpdump -XX

Tampilkan daftar antarmuka yang tersedia

 tcpdump -D

Output yang dapat dibaca baris (untuk dilihat saat Anda menyimpan, atau mengirim ke perintah lain)

 tcpdump -l

Kurangi bertele-tele (lebih tenang) dengan keluaran Anda.

 tcpdump -q

Berikan keluaran stempel waktu yang dapat dibaca manusia.

 tcpdump -t :

Berikan keluaran stempel waktu yang dapat dibaca manusia secara maksimal.

 tcpdump -tttt :

Dengarkan di antarmuka eth0.

 tcpdump -i eth0

Output verbose (lebih banyak v menghasilkan lebih banyak output).

 tcpdump -vv

Hanya dapatkan x jumlah paket lalu berhenti.

 tcpdump -c

Tentukan snaplength (ukuran) tangkapan dalam byte. Gunakan -s0 untuk mendapatkan semuanya, kecuali Anda sengaja menangkap lebih sedikit.

 tcpdump -s

Cetak nomor urut absolut.

 tcpdump -S

Dapatkan header ethernet juga.

 tcpdump -e

Dekripsi lalu lintas IPSEC dengan menyediakan kunci enkripsi.

 tcpdump -E

Untuk opsi lebih lanjut, baca manual:

Temukan semua opsi di sini
Linux Tcpdump: Filter paket ping ipv6 ntp
Tcpdump: menangkap paket DHCP & DHCPv6
20 Contoh Tcpdump Tingkat Lanjut Di Linux
10 Contoh perintah tcpdump yang berguna

PENGGUNAAN DASAR

Tampilkan Antarmuka yang Tersedia

 tcpdump -D
tcpdump --list-interfaces

Mari kita mulai dengan perintah dasar yang akan memberi kita lalu lintas HTTPS:

 tcpdump -nnSX port 443

Temukan Lalu Lintas berdasarkan IP

 tcpdump host 1.1.1.1

Memfilter berdasarkan Sumber dan/atau Tujuan

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

Menemukan Paket berdasarkan Jaringan

 tcpdump net 1.2.3.0/24

Keluaran Rendah:

 tcpdump -nnvvS

Keluaran Sedang:

 tcpdump -nnvvXS

Keluaran Berat:

 tcpdump -nnvvXSs 1514

Menjadi Kreatif

Ekspresinya sangat bagus, tetapi keajaiban tcpdump yang sebenarnya berasal dari kemampuan menggabungkannya dengan cara yang kreatif untuk mengisolasi apa yang Anda cari.

Ada tiga cara untuk melakukan kombinasi:

DAN

 and or &&

ATAU

 or or ||

KECUALI

 not or !

Contoh Penggunaan:

Lalu lintas dari 192.168.1.1 DAN ditujukan ke port 3389 atau 22

 tcpdump 'src 192.168.1.1 and (dst port 3389 or 22)'

Canggih

Tunjukkan pada saya semua paket URG:

 tcpdump 'tcp[13] & 32 != 0'

Tunjukkan pada saya semua paket ACK:

 tcpdump 'tcp[13] & 16 != 0'

Tunjukkan semua paket PSH:

 tcpdump 'tcp[13] & 8 != 0'

Tunjukkan pada saya semua paket RST:

 tcpdump 'tcp[13] & 4 != 0'

Tunjukkan semua paket SYN:

 tcpdump 'tcp[13] & 2 != 0'

Tunjukkan semua paket FIN:

 tcpdump 'tcp[13] & 1 != 0'

Tunjukkan semua paket SYN-ACK:

 tcpdump 'tcp[13] = 18'

Tampilkan semua lalu lintas dengan tanda SYN dan RST yang disetel: (hal ini tidak boleh terjadi)

 tcpdump 'tcp[13] = 6'

Tampilkan semua lalu lintas dengan kumpulan "bagian jahat":

 tcpdump 'ip[6] & 128 != 0'

Tampilkan semua Lalu Lintas IPv6:

 tcpdump ip6

Cetak Paket yang Diambil di ASCII

 tcpdump -A -i eth0

Tampilkan Paket yang Diambil dalam HEX dan ASCII

 tcpdump -XX -i eth0

Tangkap dan Simpan Paket dalam File

 tcpdump -w 0001.pcap -i eth0

Baca File Paket yang Diambil

 tcpdump -r 0001.pcap

Tangkap Paket alamat IP

 tcpdump -n -i eth0

Tangkap hanya Paket TCP.

 tcpdump -i eth0 tcp

Tangkap Paket dari Port Tertentu

 tcpdump -i eth0 port 22

Tangkap Paket dari IP sumber

 tcpdump -i eth0 src 192.168.0.2

Tangkap Paket dari IP tujuan

 tcpdump -i eth0 dst 50.116.66.139

Tangkap paket apa pun yang berasal dari xxxx

 tcpdump -n src host x.x.x.x

Tangkap paket apa pun yang datang dari atau pergi ke xxxx

 tcpdump -n host x.x.x.x

Tangkap paket apa pun yang menuju xxxx

 tcpdump -n dst host x.x.x.x

Tangkap paket apa pun yang berasal dari xxxx

 tcpdump -n src host x.x.x.x

Tangkap paket apa pun yang masuk ke jaringan xxx0/24

 tcpdump -n dst net x.x.x.0/24

Tangkap paket apa pun yang datang dari jaringan xxx0/24

 tcpdump -n src net x.x.x.0/24

Tangkap paket apa pun dengan port tujuan x

 tcpdump -n dst port x

Tangkap paket apa pun yang datang dari port x

 tcpdump -n src port x

Tangkap paket apa pun dari atau ke rentang port x hingga y

 tcpdump -n dst(or src) portrange x-y

Tangkap rentang port tcp atau udp apa pun x hingga y

 tcpdump -n tcp(or udp) dst(or src) portrange x-y

Tangkap paket apa pun dengan dst ip xxxx dan port y

 tcpdump -n "dst host x.x.x.x and dst port y"

Tangkap paket apa pun dengan dst ip xxxx dan port dst x, z

 tcpdump -n "dst host x.x.x.x and (dst port x or dst port z)"

Tangkap ICMP, ARP

 tcpdump -v icmp(or arp)

Tangkap paket pada antarmuka eth0 dan buang ke file cap.txt

 tcpdump -i eth0 -w cap.txt

Dapatkan Isi Paket dengan Output Hex

 tcpdump -c 1 -X icmp

Tampilkan Lalu Lintas Terkait dengan Pelabuhan Tertentu

 tcpdump port 3389 
tcpdump src port 1025

Tampilkan Lalu Lintas Satu Protokol

 tcpdump icmp

Temukan Lalu Lintas berdasarkan IP

 tcpdump host 1.1.1.1

Memfilter berdasarkan Sumber dan/atau Tujuan

 tcpdump src 1.1.1.1 
tcpdump dst 1.0.0.1

Menemukan Paket berdasarkan Jaringan

 tcpdump net 1.2.3.0/24

Dapatkan Isi Paket dengan Output Hex

 tcpdump -c 1 -X icmp

Tampilkan Lalu Lintas Terkait dengan Pelabuhan Tertentu

 tcpdump port 3389 
tcpdump src port 1025

Tampilkan Lalu Lintas Satu Protokol

 tcpdump icmp

Tampilkan hanya Lalu Lintas IP6

 tcpdump ip6

Temukan Lalu Lintas Menggunakan Rentang Port

 tcpdump portrange 21-23

Temukan Lalu Lintas Berdasarkan Ukuran Paket

 tcpdump less 32 
 tcpdump greater 64 
 tcpdump <= 128
 tcpdump => 128

Membaca / Menulis Tangkapan ke File (pcap)

 tcpdump port 80 -w capture_file
tcpdump -r capture_file

Ini Semua Tentang Kombinasi

Tampilan Keluaran Mentah

 tcpdump -ttnnvvS

Berikut adalah beberapa contoh perintah gabungan.

Dari IP tertentu dan ditujukan untuk Port tertentu

 tcpdump -nnvvS src 10.5.2.3 and dst port 3389

Dari Satu Jaringan ke Jaringan Lainnya

 tcpdump -nvX src net 192.168.0.0/16 and dst net 10.0.0.0/8 or 172.16.0.0/16

Lalu Lintas Non ICMP Menuju IP Tertentu

 tcpdump dst 192.168.0.2 and src net and not icmp

Lalu Lintas Dari Host yang Tidak Ada di Port Tertentu

 tcpdump -vv src mars and not dst port 22

Isolasi flag TCP RST.

 tcpdump 'tcp[13] & 4!=0'
tcpdump 'tcp[tcpflags] == tcp-rst'

Isolasi flag TCP SYN.

 tcpdump 'tcp[13] & 2!=0'
tcpdump 'tcp[tcpflags] == tcp-syn'

Pisahkan paket yang memiliki flag SYN dan ACK yang disetel.

 tcpdump 'tcp[13]=18'

Isolasi tanda TCP URG.

 tcpdump 'tcp[13] & 32!=0'
tcpdump 'tcp[tcpflags] == tcp-urg'

Isolasi flag TCP ACK.

 tcpdump 'tcp[13] & 16!=0'
tcpdump 'tcp[tcpflags] == tcp-ack'

Isolasi flag TCP PSH.

 tcpdump 'tcp[13] & 8!=0'
tcpdump 'tcp[tcpflags] == tcp-psh'

Isolasi flag TCP FIN.

 tcpdump 'tcp[13] & 1!=0'
tcpdump 'tcp[tcpflags] == tcp-fin'

Perintah yang saya gunakan hampir setiap hari

Set SYN dan RST

 tcpdump 'tcp[13] = 6'

Temukan Agen Pengguna HTTP

 tcpdump -vvAls0 | grep 'User-Agent:'
tcpdump -nn -A -s1500 -l | grep "User-Agent:"

Dengan menggunakan egrep dan beberapa kecocokan kita bisa mendapatkan Agen Pengguna dan Host (atau header lainnya) dari permintaan tersebut.

 tcpdump -nn -A -s1500 -l | egrep -i 'User-Agent:|Host:'

Tangkap hanya paket HTTP GET dan POST hanya paket yang cocok dengan GET.

 tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
tcpdump -s 0 -A -vv 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354'

Ekstrak URL Permintaan HTTP

 tcpdump -s 0 -v -n -l | egrep -i "POST /|GET /|Host:"

Ekstrak Kata Sandi HTTP di Permintaan POST

 tcpdump -s 0 -A -n -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Tangkap Cookie dari Server dan dari Klien

 tcpdump -nn -A -s0 -l | egrep -i 'Set-Cookie|Host:|Cookie:'

Tangkap semua paket ICMP

 tcpdump -n icmp

Tampilkan Paket ICMP yang bukan ECHO/REPLY (ping standar)

 tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

Tangkap Email SMTP / POP3

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

Memecahkan Masalah Permintaan dan Respons NTP

 tcpdump dst port 123

Tangkap Kredensial dan Perintah FTP

 tcpdump -nn -v port ftp or ftp-data

Putar File Pengambilan

 tcpdump  -w /tmp/capture-%H.pcap -G 3600 -C 200

Tangkap Lalu Lintas IPv6

 tcpdump -nn ip6 proto 6

IPv6 dengan UDP dan membaca dari file capture yang disimpan sebelumnya.

 tcpdump -nr ipv6-test.pcap ip6 proto 17

Mendeteksi Pemindaian Port di Lalu Lintas Jaringan

 tcpdump -nn

CONTOH PENGGUNAAN

Contoh Filter Menampilkan Pengujian Skrip Nmap NSE

Sesuai Sasaran:

 nmap -p 80 --script=http-enum.nse targetip

Di Server:

 tcpdump -nn port 80 | grep "GET /"
  
     GET /w3perl/ HTTP/1.1
     GET /w-agora/ HTTP/1.1
     GET /way-board/ HTTP/1.1
     GET /web800fo/ HTTP/1.1
     GET /webaccess/ HTTP/1.1
     GET /webadmin/ HTTP/1.1
     GET /webAdmin/ HTTP/1.1

Tangkap Paket Awal dan Akhir dari setiap host non-lokal

 tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

Tangkap Permintaan dan Respons DNS

Memfilter DNS dengan Tcpdump

 tcpdump -i wlp58s0 -s0 port 53

Menangkap paket data HTTP

 tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'

Host Teratas berdasarkan Paket

 tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20

Tangkap semua kata sandi teks biasa

 tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

tcpdump port http or port ftp or port smtp or port imap or port pop3 or port telnet -lA | egrep -i -B5 'pass=|pwd=|log=|login=|user=|username=|pw=|passw=|passwd= |password=|pass:|user:|username:|password:|login:|pass |user '

Contoh DHCP

 tcpdump -v -n port 67 or 68

Permintaan GET Cleartext

 tcpdump -vvAls0 | grep 'GET'

Temukan Header Host HTTP

 tcpdump -vvAls0 | grep 'Host:'

Temukan Cookie HTTP

 tcpdump -vvAls0 | grep 'Set-Cookie|Host:|Cookie:'

Temukan Koneksi SSH

 tcpdump 'tcp[(tcp[12]>>2):4] = 0x5353482D'

Temukan Lalu Lintas DNS

 tcpdump -vvAs0 port 53

Temukan Lalu Lintas FTP

 tcpdump -vvAs0 port ftp or ftp-data

Temukan Lalu Lintas NTP

 tcpdump -vvAs0 port 123

Tangkap Email SMTP / POP3

 tcpdump -nn -l port 25 | grep -i 'MAIL FROM|RCPT TO'

Mode Buffer Garis

 tcpdump -i eth0 -s0 -l port 80 | grep 'Server:'

Temukan lalu lintas dengan sedikit kejahatan

 tcpdump 'ip[6] & 128 != 0'

Filter berdasarkan protokol (ICMP) dan bidang khusus protokol (tipe ICMP)

Tcpdump: Filter Paket dengan Bendera Tcp

tcpdump -n icmp dan 'icmp[0] != 8 dan icmp[0] != 0'

Perintah yang sama dapat digunakan dengan offset bidang header yang telah ditentukan sebelumnya (icmptype) dan nilai bidang tipe ICMP (icmp-echo dan icmp-echoreply):

 tcpdump -n icmp and icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply

Filter pada bidang TOS

 tcpdump -v -n ip and ip[1]!=0

Filter pada bidang TTL

 tcpdump -v ip and 'ip[8]<2'

Filter pada flag TCP (SYN/ACK)

 tcpdump -n tcp and port 80 and 'tcp[tcpflags] & tcp-syn == tcp-syn'

Dalam contoh di atas, semua paket dengan set flag TCP SYN ditangkap. Bendera lain (ACK, misalnya) mungkin juga disetel. Paket yang hanya memiliki flag TCP SYN yang disetel, dapat ditangkap

 tcpdump tcp and port 80 and 'tcp[tcpflags] == tcp-syn'

Menangkap paket TCP SYN/ACK (biasanya, respons dari server):

 tcpdump -n tcp and 'tcp[tcpflags] & (tcp-syn|tcp-ack) == (tcp-syn|tcp-ack)'
tcpdump -n tcp and 'tcp[tcpflags] & tcp-syn == tcp-syn' and 'tcp[tcpflags] & tcp-ack == tcp-ack'

Tangkap paket ARP

 tcpdump -vv -e -nn ether proto 0x0806

Filter berdasarkan panjang paket IP

 tcpdump -l icmp and '(ip[2:2]>50)' -w - |tcpdump -r - -v ip and '(ip[2:2]<60)'

Catatan: karena beberapa bug di tcpdump, perintah berikut tidak menangkap paket seperti yang diharapkan:

 tcpdump -v -n icmp and '(ip[2:2]>50)' and '(ip[2:2]<60)'

Filter pada konten yang dienkapsulasi (ICMP dalam PPPoE)

 tcpdump -v -n icmp

Lebih aneh

 tcpdump -q -i eth0
tcpdump -t -i eth0
tcpdump -A -n -q -i eth0 'port 80'
tcpdump -A -n -q -t -i eth0 'port 80'

Cetak hanya paket berguna dari lalu lintas HTTP

 tcpdump -A -s 0 -q -t -i eth0 'port 80 and ( ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12:2]&0xf0)>>2)) != 0)'

Buang Lalu Lintas SIP

 tcpdump -nq -s 0 -A -vvv port 5060 and host 1.2.3.4

Memeriksa isi paket

 tcpdump -i any -c10 -nn -A port 80

Memeriksa isi paket

 sudo tcpdump -i any -c10 -nn -A port 80

Referensi & Wiki yang luar biasa

Tangkap Paket ICMP Dengan Tcpdump

Men-debug Paket SSH dengan Tcpdump

Menggunakan Tcpdump untuk Memfilter Paket DNS

Pelajari Panduan Cepat tcpdump

Memfilter DNS dengan Tcpdump

Memfilter paket CDP LLDP dengan Tcpdump

Lembar Cheat Tcpdump (Contoh Dasar Lanjutan)

AKHIR!

Memperluas