Linux’ta “tcpdump” Kullanarak “pcap” Dosyası Oluşturma…

 

Linux üzerinde ağ paketlerini yakalamak için kullanılan bir komut varsa işinize yarayacak en basit komut tcpdump’tır. Peki ağ paketlerini yakalamak için kullanacağımız bu komut ile neler yapabiliriz kısaca göz atalım.

  • Terminalinizde paket dökümünü görebilirsiniz
  • ayrıca bir pcap dosyası da oluşturabilir ve bunu WireShark programı ile detaylı bir şekilde görüntüleyebiliriz.
  • ftp veya ssh vb. gibi gerekli paketleri sadece yakalamak için filtre oluşturabilirsiniz.

Bir pcap dosyası oluşturmak istiyorsak aşağıda belirtilen komut ile önceden belirliyeceğimi dosya içerisinde pcap dosyası yakalayabiliriz.

tcpdump -s 0 port ftp or ssh -i eth0 -w dosyaismi.pcap

Komut Açıklamaları:

-s 0 , bu komut ile port bilgisi girmeden tüm portları tarayarak yani yakalama port’unu maksimum değerine 65535’e ayarlayacaktır.

-i eth0 , yakalayacağınız Ethernet arayüzünü kullanmak için kullanılır. Bu seçenek spesifik belirtilmediği sürece eth0’dır.

ftp veya ssh portu , sadece ftp ve ssh paketlerini yakalayacak olan filtredir. Tüm paketleri yakalamak için bu komutu kullanabiliriz.

-w dosyaismi.pcap , wireshark programını kullanılarak açılacak olan pcap dosyasının ismini belirtir.