tcpdump でPPPoEをマッチングする。 sudo tcpdump -i eth0 'ether[0x0c:2] == 0x8863 or ether[0x0c:2] == 0x8864' 逆に、PPPoEのパケットを除外したいとき sudo tcpdump -i eth0 'not ( ether[0x0c:2] == 0x8863 or ether[0x0c:2] == 0x8864 )' pppoe のパ…

tcpdumpで パケット長でフィルタを掛けたい 小さいパケットは無視したり、一定以上のサイズのものだけを取り出したい。 tcpdump -i eth0 greater 500 greater の条件を使うことで、パケットの長さを元にフィルタをかけることができる。逆は less 組み合わせ…

tcpdump を使って UDP を指定する tcp は syn ack があってパケットがたくさん出てきますが、 UDP はそうでもない。 tcpdump -i eth0 udp UDP の IPアドレスを指定する tcpdump のコマンドは、フィルタ単体というより、いくつかのフィルタを組み合わせて使う…

tcpdump で ping の 応答パケットだけを取り出す。 tcpdump をLinuxルーターのなかで実行しているときに、デバッグしてるときにパケットを見ます。 ネットワーク間の forward が正しく動いているか、iptables の設定が正しいかどうか、NATできてるかどうか。…

icmp で ping の受信を見たい tcpdump を使って届いてるパケットを見ることが出来る。 ping の応答が返ってこないしとしても、応答パケットのルーティング設定が間違っている可能性もある。 そのため、ping の宛先でパケットがちゃんと届いているかチェック…

自分自身へのパケットをキャプチャする sudo tcpdump -i lo tcpdump を使えば、自分から自身の宛のパケット、つまりループバックアドレスへのパケットと、自分自身のIPへのパケットを見ることができる。 自分自身へのパケットとは localhost 宛のパケット 。…

dhcpv6 を見たい。 tcpdump でやるには次のようにする。 tcpdump -n -vv ‘(udp port 546 or 547) or icmp6’ ここで、UDP の 546, 547 は、v6のDHCPv6で使われる。 リレーエージェントが、DHCPv6 をリレーするのに、547 あてに送信する、送信元は546 だったか…

tcpdump のパケットで、v6だけにフィルタする。 tcpdump -v ip6 ip6 と書きます。 ipv6 だけど、ipv6とは書きません。 ping6のように、tcpdump の ipv6 専用コマンド tcpdump6 があるわけででもないです。

TCPDumpをつかってLDAPをDumpしてみた 準備 apt 一発で入る sudo apt install tcpdump まずは実行 sudo tcpdump 7:31:52.063902 IP 192.168.11.2.50088 > sys-watch.local.ssh: . ack 9395940 win 30284 17:31:52.064041 IP sys-watch.local.ssh > 192.168.1…