tcpdump コマンド 覚書

要件
webサーバに対する通信をキャプチャする

tcpdump -i eth0 port 80 -w /dir/filename_`date +%Y_%m%d_%H%M_%S`.pcap 2> /dev/null &

インターフェイス eth0の80番ポートに対する通信をキャプチャして日付入りのpcapファイルに出力する。
また標準エラー出力先に/dev/nullを指定して標準エラー出力を破棄する。
'&' によりバックグラウンドで動作させる。

プロセスを終了するには
以下のコマンドでプロセスのpidを確認する
ps aux | grep tcpdump
killコマンドでプロセスを終了する
kill pid

以上

2014/07/07 追記
以下のようなcapture.shというスクリプトを作った。

#!/bin/sh

#change the variables below if needed.

FILENAME=sample
DATE=`date +%Y_%m%d_%H%M_%S`
PCAP_FILE=/foo/bar/${FILENAME}_${DATE}.pcap
PCAP_IFACE=eth0
PCAP_PORT=80

(sudo /usr/sbin/tcpdump -i $PCAP_IFACE port $PCAP_PORT -w $PCAP_FILE >/dev/null 2>&1) &

※標準出力及び標準エラー出力を破棄し、バックグラウンドで動作させる
以上

Leave a Reply

Your email address will not be published.