мати ім'я певне в ключі-w, з стоячою наприкінці числом 2, яке буде збільшуватися в наступних іменах файлів. file_size визначає розмір в мільйонах байт (1,000,000), а не мегабайтах (1,048,576);
- F file використовувати file для введення фільтруючого вираження. Вираз, вказане в командному рядку, буде ігноруватися;
- i interface збирати пакети тільки на певному інтерфейсі. Якщо не вказаний - береться мінімальний за номером інтерфейс (виключаючи loopback). Для Linux-ядер 2.2 і новіших, можливо вказати «any», тоді буде відбуватися збір на всіх інтерфейсах, але вони не будуть переведені в режим promiscuous;
- n НЕ перетворювати адресу хоста в ім'я. Може бути використане, якщо необхідно уникати DNS-запитів;
- nn НЕ перетворювати протокол і номер порту в їх імена;
- N не виводити з доменну частину імені хоста. Наприклад, при цьому ключі буде виводиться «nic» замість «nic.ddn.mil»;
- p не перекладати інтерфейс в режим promiscuous. Слід зауважити, що інтерфейс може бути в режимі promiscuous з інших причин;
- r file читати пакети з file (який, був створений з ключем-w). Якщо file вказаний як «-», то використовується стандартний ввід;
- t не виводити з тимчасової штамп (timestamp) у кожному рядку дампа (dump);
- tt висновків не форматований тимчасової штамп в кожному рядку дампа;
- ttt виводити різницю (у мікросекундах) між поточною і попередньої рядками дампа;
- tttt виводити тимчасової штамп разом з датою у форматі по-замовчуванням в кожному рядку дампа;
- v докладний висновок. Для ще більш докладного виводу використовуються:-vv і-vvv;
- w file писати «сирі» пакети в file перед тим як провести їх розбір і вивести. Вони можуть бути пізніше виведені з ключем-r. Якщо file вказаний як «-», то використовується стандартний висновок;
- x друкувати кожен пакет (без заголовків рівня з'єднання) в шестнадцатиричном вигляді;
- X крім шестнадцатірічное виду виводити їх ASCII-значення.
Спочатку програма tcpdump була розроблена для UNIX-подібних систем, пізніше - портована на інші системи.
Для Windows в даний час відомі:
- «tcpdump для Windows», комерційна реалізація, у вигляді одного файлу tcpdump.exe;
- «WinDump», реалізація з відкритим кодом, що вимагає установки бібліотеки WinPcap (вільне ПЗ).
Приклад tcpdump виявлення аномалій TCP шляхом обчислення відношення числа вихідних пакетів з SYN прапором до числа входять з SYN + ACK:
SYN_ONLY_FROM_ISP=`tcpdump-n-l-r $ 1« src net 192.168.0.0/24 » and «dst net not 192.168.0.0/24» and «tcp [13] == 2» | Wc | awk «{print $ 1}» `[6].
1.3 Обгрунтування вибору технології і програмних засобів для розробки утиліти
1.3.1 Архітектура клієнт-сервер
Технологія клієнт-сервер увазі виконання запитів користувачів спеціалізованим комп'ютером, званим сервером. Користувачі, які відправляють запити на цей сервер, наз...
