tcpdump2 script

Click for English version

Описание

Скрипт tcpdump2 — это мощный инструмент для автоматизации работы с утилитой tcpdump. Он значительно упрощает процесс диагностики и анализа сетевого трафика, предоставляя готовые фильтры для различных протоколов, групп и сценариев использования.

Скрипт поддерживает множество функций, таких как фильтрация по VLAN, MAC-адресам, диапазонам портов, размеру пакетов, а также захват только заголовков пакетов. Благодаря этому вы можете быстро выявлять аномалии, исследовать сетевые атаки и анализировать трафик без необходимости запоминать сложные команды.

Мы всегда открыты для улучшений! Если у вас есть идеи или вы заметили недочёты, будем рады вашим предложениям.

Установка

Чтобы установить tcpdump2, выполните следующие команды в терминале:

git clone https://github.com/mnbarinov/tcpdump2.git
cd tcpdump2
chmod +x tcpdump2.sh
ln -s $(pwd)/tcpdump2.sh /usr/local/bin/tcpdump2

Установка tcpdump

Убедитесь, что на вашем сервере или компьютере установлен tcpdump. Ниже приведены команды для установки на популярных дистрибутивах:

Debian/Ubuntu:

sudo apt update
sudo apt install tcpdump

CentOS/RHEL:

sudo yum install tcpdump

Fedora:

sudo dnf install tcpdump

Arch Linux:

sudo pacman -S tcpdump

Синтаксис команды

После установки скрипта вы можете использовать его, выполнив команду в следующем формате:

tcpdump2 -i <имя_интерфейса> <ФИЛЬТР> [дополнительные_опции]

Параметры:

• <имя_интерфейса> — название сетевого интерфейса (например, eth0).

• <ФИЛЬТР> — один из предустановленных фильтров (например, web, vpn, bgp).

• [дополнительные_опции] — дополнительные параметры, такие как:

  • -o <файл> — сохранить вывод в файл.

  • -c <количество> — ограничить количество захватываемых пакетов.

  • -h — захватывать только заголовки пакетов.

  • -m — фильтровать по MAC-адресу.

  • -host — фильтровать по IP-адресу.

  • -vlan — фильтровать по VLAN ID.

  • -p <диапазон_портов> — фильтровать по диапазону портов.

  • -t <время> — захватывать трафик в течение указанного времени (в секундах).

  • -s <размер> — фильтровать по размеру пакета (больше указанного значения).

  • -color — включить цветной вывод для ключевых протоколов (IP, TCP, UDP, ICMP).

Чтобы увидеть список всех доступных фильтров, выполните команду:

tcpdump2

Примеры использования

Захват HTTP-трафика:

tcpdump2 -i eth0 web

Захват трафика для VLAN 208:

tcpdump2 -i eth0 vpn -vlan 208

Захват только 100 пакетов DNS-трафика:

tcpdump2 -i eth0 dns -c 100

Захват трафика с фильтрацией по MAC-адресу:

tcpdump2 -i eth0 tcp -m 00:11:22:33:44:55

Захват трафика с фильтрацией по IP-адресу:

tcpdump2 -i eth0 tcp -host 8.8.8.8

Захват трафика для диапазона портов 1000-2000:

tcpdump2 -i eth0 tcp -p 1000-2000

Захват трафика с цветным выводом:

tcpdump2 -i eth0 web -color

Сохранение вывода в файл:

tcpdump2 -i eth0 web -o output.pcap

Захват трафика в течение 10 секунд:

tcpdump2 -i eth0 web -t 10

Поддерживаемые фильтры

Скрипт поддерживает множество фильтров, включая:

• Основные протоколы: tcp, udp, icmp, arp, ip, ip6.

• Группы протоколов: vpn, routing, p2p, voip, management, web, email.

• Сетевые службы: dhcp, dns, ntp, radius, snmp, ldap, ssh, ftp, smb, tftp.

• Протоколы маршрутизации: bgp, ospf, rip, eigrp, isis.

• VPN и туннелирование: gre, ipsec, pptp, openvpn, wireguard.

• Мультимедиа и VoIP: rtp, sip, rtsp, h323.

• Аномалии и атаки: scan, ddos, suspicious_ports, anomaly, port_hopping, burst, suspicious_traffic.

Полный список фильтров можно увидеть, выполнив команду tcpdump2 без параметров.

Контрибьюция

Если у вас есть идеи по улучшению скрипта или вы нашли ошибки, не стесняйтесь открывать запросы на изменение (pull requests) или оставлять свои замечания в разделе Issues.

Спасибо за использование tcpdump2! Надеемся, он станет полезным инструментом в вашей работе.