TSharkでパケットキャプチャした内容をファイル出力します。
記事の目次
パケットキャプチャした内容をファイルに出力する!
「-w」オプションで、パケットキャプチャした内容をファイルに出力します。
# tcpdump -c 3 -nn -i enp0s3 -w tcpdump.pcap dropped privs to tcpdump tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes 3 packets captured 5 packets received by filter 0 packets dropped by kernel
ファイルに出力した内容を表示する!
「-r」オプションで、ファイルに出力した内容を表示します。
# tcpdump -c 3 -nn -i enp0s3 -r tcpdump.pcap reading from file tcpdump.pcap, link-type EN10MB (Ethernet) dropped privs to tcpdump 06:35:38.660096 IP 10.1.12.11.22 > 10.1.1.1.38984: Flags [P.], seq 2854398242:2854398390, ack 3637089997, win 341, options [nop,nop,TS val 1338206734 ecr 3913169974], length 148 06:35:38.660272 IP 10.1.1.1.38984 > 10.1.12.11.22: Flags [.], ack 148, win 9612, options [nop,nop,TS val 3913169981 ecr 1338206734], length 0 06:35:48.670069 IP 10.1.1.1.38984 > 10.1.12.11.22: Flags [P.], seq 1:53, ack 148, win 9612, options [nop,nop,TS val 3913179990 ecr 1338206734], length 52
ファイルサイズを指定してキャプチャする!
「-C」オプションで、ファイルサイズをMB単位で指定してキャプチャすることができます。
# tcpdump -nn -i enp0s3 -w /tmp/tcpdump.pcap -C 1 dropped privs to tcpdump tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
ファイル数を指定してキャプチャする!
「-W」オプションで、ファイル数を指定してファイルをローテーションしてキャプチャすることができます。ローテーションに使用されるファイル名は、ファイル名の後に「0」から順番に数字が割り当てられます。
# tcpdump -nn -i enp0s3 -w /tmp/tcpdump.pcap -C 1 -W 3 dropped privs to tcpdump tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes
秒数を指定してキャプチャする!
「-G」オプションで、秒数を指定してキャプチャすることができます。
# tcpdump -nn -i enp0s3 -w /tmp/tcpdump.pcap -W 1 -G 5 dropped privs to tcpdump tcpdump: listening on enp0s3, link-type EN10MB (Ethernet), capture size 262144 bytes Maximum file limit reached: 1 16 packets captured 21 packets received by filter 0 packets dropped by kernel
おわりに
Tcpdumpでキャプチャした内容は、ファイルに出力することができます。
関連記事
