tcpdumpの基本

2020.3.1 (日)

まずそもそもtcpdumpのコマンドがインストールされていないことが多いので、使えない場合はインストールから。

# which tcpdump
/usr/bin/which: no tcpdump in (/sbin:/bin:/usr/sbin:/usr/bin)

yum -y install tcpdump

インストールできたら、とりあえず、

tcpdump

とやってみます。目まぐるしいアクセスでバーっとログが出てくるんですが、これがtcpの通信をdumpしている状態です。この状態は量が多すぎて何もわからないので、ある程度フィルタリングしたりして使うのが普通です。

- インターフェイスを選ぶ
- ホストを限定する

### インターフェイスを選ぶ
`ip a`などでネットワークのインターフェイスを見てみるとたいていの場合、eth0とかloとかのネットワークインターフェイスを利用していることがわかります。複数のIPアドレスをもつ場合は複数のインターフェイスがあるはずです。そのIPにアクセスがあるのかというのを判別するためにインターフェイスを選択します。

tcpdump -i eth0


### ホストを限定する どのホストから来ているの知りたいときは`src host`でホスト名を指定します。

tcpdump -i eth0 src host 192.168.50.10

“`