Tcpdump

Tcpdump Linux / Unix temelli sistemlerde kullanılabilecek ağ trafiği izleme aracıdır(Sniffer). İlk Snifferlar dan olan tcpdump TCP / IP iletişiminin analizinde kullanılabilecek en hızlı araçlardan biridir. Ağ geçitleri üzerinde yada yönetilebilir switchlerdeki mirror port (Span) özellikleri kullanılarak trafik analizi yapılabilir.

Tcpdump aşağıdaki adresten indirilebilir.
http://www.tcpdump.org/release/tcpdump-4.2.1.tar.gz

Kullanımı:
Bir istemciye gelen ve giden tüm trafiği izlemek;
tcpdump host <ip>

Bir istemciden giden trafiğini izlemek ;
tcpdump src host <ip>

Belli bir porta gelen yada giden iletişimi izlemek ;

tcpdump <src | dst> port 25

Network Aralığı belirtmek ; (Aşağıdaki komut 10.0.0.0/16 network ünün iletişimini görüntüler)

tcpdump net 10.0.0 

Birden fazla şarta göre kayıtların görüntülenmesi için kullanılacak ifadeler;

Dışında : 

< ! > yada < not > ; tcpdump host not 10.0.0.4   (10.0.0.4 IP adresinin dışındaki kayıtları görüntüler)

Ve :

< && > yada < and > ; tcpdump src host 10.0.0.4 && src port 22  ( 10.0.0.4 ün 22 nolu portuna gelen iletişimi görüntüler )

Yada: 

< || > yada < or > ; 

Birden çok şart belirtilecek ise aşağıdaki şekilde bir yazım kullanmak gerekmektedir.

tcpdump '((tcp) and (port 80) and ((dst host 10.0.0.5) or (dst host 10.0.0.6)))'

10.0.0.5 yada 10.0.0.6 ip adreslerine gelen http isteklerini görüntüler.