Tcpdump - Windump

Ağ izleme amacıyla yazılmış bir çok yazılımdan bir tanesidir. Wireshark ile aynı işlevlere sahip olmasıyla birlikte UNiX/Linux için yazılmış komut ortamında çalışan paket analiz programı olarakta bilinir. Windows ortamında çalışan versiyonuna da Windump denilir. libpcap kullanır.

Wireshark ile arasındaki fark olarak performans diyebiliriz. Wireshark görsel olarak ağ trafiğini izlerken bir süre sonra yük arttıkça yavaşlamalar ve donmalar gerçekleşiyorken tcpdump komut ortamında çok daha rahat çalışabilmekte.

Tcpdump komutları

  • -i any : Listen on all interfaces just to see if you're seeing any traffic.
  • -n : Don't resolve hostnames.
  • -nn : Don't resolve hostnames or port names.
  • -X : Show the packet's contents in both hex and ASCII.
  • -XX : Same as -X, but also shows the ethernet header.
  • -v, -vv, -vvv : Increase the amount of packet information you get back.
  • -c : Only get x number of packets and then stop.
  • -S : Print absolute sequence numbers.
  • -e : Get the ethernet header as well.
  • -q : Show less protocol information.
  • -E : Decrypt IPSEC traffic by providing an encryption key.
  • -s : Set the snaplength, i.e. the amount of data that is being captured in bytes
  • -c : Only capture x number of packets, e.g. 'tcpdump -c 3'

yukarıdaki parametreler kullanılarak tcpdump ile filtrelemeler yapılabilirken bu paremetreleri kendi aralarında uyarlayıp çokta güzel sonuçlar elde edebileceğiniz analizler gerçekleştirebilirsiniz.