tcpdump でパケットキャプチャ
tcpdump で「ローカルホストの 80 番ポート ( 送受信 ) のパケットをキャプチャする」コマンドメモ。
tcpdump -i lo -X dst port 80 or src port 80
指定しているオプションは、
*「-i」でインターフェイスを指定 ( *1 )
*「-X」でパケットのデータ部分を 16 進数+ASCII で表示
*「dst port 80 or src port 80」で送信先ポート 80 番、送信元ポート 80 番のパケットをキャプチャするようにフィルタリング
という感じです。
( *1 ) ifconfig の結果。ローカルホストはインターフェイスは lo なので、こいつを指定。
eth0 Link encap:Ethernet HWaddr 08:00:27:58:5D:B1
inet addr:192.168.1.4 Bcast:192.168.1.255 Mask:255.255.255.0
- 略 -
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
- 略 -
実行結果 ( curl -v http://localhost/test.html とかで適当にパケット発生させる )
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 65535 bytes
12:39:38.032688 IP6 localhost.58157 > localhost.http: Flags [S], seq 1522441353, win 32752, options [mss 16376,sackOK,TS val 1203780 ecr 0,nop,wscale 6], length 0
0x0000: 6000 0000 0028 0640 0000 0000 0000 0000 `....(.@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 e32d 0050 5abe 9c89 .........-.PZ...
0x0030: 0000 0000 a002 7ff0 54af 0000 0204 3ff8 ........T.....?.
0x0040: 0402 080a 0012 5e44 0000 0000 0103 0306 ......^D........
12:39:38.032703 IP6 localhost.http > localhost.58157: Flags [S.], seq 2473444858, ack 1522441354, win 32728, options [mss 16376,sackOK,TS val 1203780 ecr 1203780,nop,wscale 6], length 0
0x0000: 6000 0000 0028 0640 0000 0000 0000 0000 `....(.@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 0050 e32d 936d c5fa .........P.-.m..
0x0030: 5abe 9c8a a012 7fd8 9cf7 0000 0204 3ff8 Z.............?.
0x0040: 0402 080a 0012 5e44 0012 5e44 0103 0306 ......^D..^D....
12:39:38.032713 IP6 localhost.58157 > localhost.http: Flags [.], ack 1, win 512, options [nop,nop,TS val 1203780 ecr 1203780], length 0
0x0000: 6000 0000 0020 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 e32d 0050 5abe 9c8a .........-.PZ...
0x0030: 936d c5fb 8010 0200 83df 0000 0101 080a .m..............
0x0040: 0012 5e44 0012 5e44 ..^D..^D
12:39:38.034488 IP6 localhost.58157 > localhost.http: Flags [P.], seq 1:168, ack 1, win 512, options [nop,nop,TS val 1203782 ecr 1203780], length 167
0x0000: 6000 0000 00c7 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 e32d 0050 5abe 9c8a .........-.PZ...
0x0030: 936d c5fb 8018 0200 00cf 0000 0101 080a .m..............
0x0040: 0012 5e46 0012 5e44 4745 5420 2f74 6573 ..^F..^DGET./tes
0x0050: 742e 6874 6d6c 2048 5454 502f 312e 310d t.html.HTTP/1.1.
0x0060: 0a55 7365 722d 4167 656e 743a 2063 7572 .User-Agent:.cur
0x0070: 6c2f 372e 3139 2e37 2028 6936 3836 2d70 l/7.19.7.(i686-p
0x0080: 632d 6c69 6e75 782d 676e 7529 206c 6962 c-linux-gnu).lib
0x0090: 6375 726c 2f37 2e31 392e 3720 4e53 532f curl/7.19.7.NSS/
0x00a0: 332e 3132 2e37 2e30 207a 6c69 622f 312e 3.12.7.0.zlib/1.
0x00b0: 322e 3320 6c69 6269 646e 2f31 2e31 3820 2.3.libidn/1.18.
0x00c0: 6c69 6273 7368 322f 312e 322e 320d 0a48 libssh2/1.2.2..H
0x00d0: 6f73 743a 206c 6f63 616c 686f 7374 0d0a ost:.localhost..
0x00e0: 4163 6365 7074 3a20 2a2f 2a0d 0a0d 0a Accept:.*/*....
12:39:38.034509 IP6 localhost.http > localhost.58157: Flags [.], ack 168, win 529, options [nop,nop,TS val 1203782 ecr 1203782], length 0
0x0000: 6000 0000 0020 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 0050 e32d 936d c5fb .........P.-.m..
0x0030: 5abe 9d31 8010 0211 8323 0000 0101 080a Z..1.....#......
0x0040: 0012 5e46 0012 5e46 ..^F..^F
12:39:38.035025 IP6 localhost.http > localhost.58157: Flags [P.], seq 1:331, ack 168, win 529, options [nop,nop,TS val 1203783 ecr 1203782], length 330
0x0000: 6000 0000 016a 0640 0000 0000 0000 0000 `....j.@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 0050 e32d 936d c5fb .........P.-.m..
0x0030: 5abe 9d31 8018 0211 0172 0000 0101 080a Z..1.....r......
0x0040: 0012 5e47 0012 5e46 4854 5450 2f31 2e31 ..^G..^FHTTP/1.1
0x0050: 2032 3030 204f 4b0d 0a44 6174 653a 2053 .200.OK..Date:.S
0x0060: 6174 2c20 3235 204a 756c 2032 3031 3520 at,.25.Jul.2015.
0x0070: 3033 3a33 393a 3338 2047 4d54 0d0a 5365 03:39:38.GMT..Se
0x0080: 7276 6572 3a20 4170 6163 6865 2f32 2e32 rver:.Apache/2.2
0x0090: 2e31 3520 2843 656e 744f 5329 0d0a 4c61 .15.(CentOS)..La
0x00a0: 7374 2d4d 6f64 6966 6965 643a 2057 6564 st-Modified:.Wed
0x00b0: 2c20 3038 204a 756c 2032 3031 3520 3135 ,.08.Jul.2015.15
0x00c0: 3a34 343a 3331 2047 4d54 0d0a 4554 6167 :44:31.GMT..ETag
0x00d0: 3a20 2232 3065 3238 2d33 662d 3531 6135 :."20e28-3f-51a5
0x00e0: 6630 3363 6130 3637 3522 0d0a 4163 6365 f03ca0675"..Acce
0x00f0: 7074 2d52 616e 6765 733a 2062 7974 6573 pt-Ranges:.bytes
0x0100: 0d0a 436f 6e74 656e 742d 4c65 6e67 7468 ..Content-Length
0x0110: 3a20 3633 0d0a 436f 6e6e 6563 7469 6f6e :.63..Connection
0x0120: 3a20 636c 6f73 650d 0a43 6f6e 7465 6e74 :.close..Content
0x0130: 2d54 7970 653a 2074 6578 742f 6874 6d6c -Type:.text/html
0x0140: 3b20 6368 6172 7365 743d 5554 462d 380d ;.charset=UTF-8.
0x0150: 0a0d 0a3c 2144 4f43 5459 5045 2068 746d ...<!DOCTYPE.htm
0x0160: 6c3e 0a3c 6874 6d6c 3e0a 3c62 6f64 793e l>.<html>.<body>
0x0170: 0a3c 6831 3e74 6573 7420 2121 3c2f 6831 .<h1>test.!!</h1
0x0180: 3e0a 3c2f 626f 6479 3e0a 3c2f 6874 6d6c >.</body>.</html
0x0190: 3e0a >.
12:39:38.035129 IP6 localhost.http > localhost.58157: Flags [F.], seq 331, ack 168, win 529, options [nop,nop,TS val 1203783 ecr 1203782], length 0
0x0000: 6000 0000 0020 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 0050 e32d 936d c745 .........P.-.m.E
0x0030: 5abe 9d31 8011 0211 81d7 0000 0101 080a Z..1............
0x0040: 0012 5e47 0012 5e46 ..^G..^F
12:39:38.035860 IP6 localhost.58157 > localhost.http: Flags [.], ack 331, win 529, options [nop,nop,TS val 1203784 ecr 1203783], length 0
0x0000: 6000 0000 0020 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 e32d 0050 5abe 9d31 .........-.PZ..1
0x0030: 936d c745 8010 0211 81d6 0000 0101 080a .m.E............
0x0040: 0012 5e48 0012 5e47 ..^H..^G
12:39:38.036152 IP6 localhost.58157 > localhost.http: Flags [F.], seq 168, ack 332, win 529, options [nop,nop,TS val 1203784 ecr 1203783], length 0
0x0000: 6000 0000 0020 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 e32d 0050 5abe 9d31 .........-.PZ..1
0x0030: 936d c746 8011 0211 81d4 0000 0101 080a .m.F............
0x0040: 0012 5e48 0012 5e47 ..^H..^G
12:39:38.036163 IP6 localhost.http > localhost.58157: Flags [.], ack 169, win 529, options [nop,nop,TS val 1203784 ecr 1203784], length 0
0x0000: 6000 0000 0020 0640 0000 0000 0000 0000 `......@........
0x0010: 0000 0000 0000 0001 0000 0000 0000 0000 ................
0x0020: 0000 0000 0000 0001 0050 e32d 936d c746 .........P.-.m.F
0x0030: 5abe 9d32 8010 0211 81d3 0000 0101 080a Z..2............
0x0040: 0012 5e48 0012 5e48 ..^H..^H「localhost.58157 > localhost.http」、「localhost.http > localhost.58157」とあるので、80 番ポートの送受信パケットが取れております。
ファイルに保存して Wireshark なりでゆっくり見たいという場合は「-w」を指定してやれば OK。
tcpdump -i lo -X dst port 80 or src port 80 -w test.pcap
Manpage、指定可能なフィルタリングの情報は以下にございます。
・Manpage of TCPDUMP
http://www.tcpdump.org/manpages/tcpdump.1.html
・TCPDUMP filters
http://www.cs.ucr.edu/~marios/ethereal-tcpdump.pdf
以上です。
[ 環境情報 ]
CentOS 6.2
