Анализ сетевого трафика tcpdump
Создана 23.11.2025
Отредактирована 04.12.2025
Отредактирована 04.12.2025
Если нужный пакет ещё не установлен, сделайте это с помощью команды.
Команда установки для дистрибутивов Ubuntu, Mint, Kali основанных на Debian
sudo apt update sudo apt install tcpdump -y
Команда установки для дистрибутива CentOS (RHEL - Red Hat Enterprise Linux)
sudo dnf update sudo dnf install tcpdump -y
Посмотреть доступные интерфейсы для анализа трафика
sudo tcpdump -D
Захват трафика на конкретном интерфейсе
sudo tcpdump -i eth0
Захват только HTTPS трафика
sudo tcpdump -i any port 443
Фильтр, захватывающий только ICMP-трафик, который записывается сразу в файл capture для дальнейшего анализа
sudo tcpdump -ne icmp -v > capture
- -n отключает преобразование IP-адресов в имена (чтобы выводить только IP-адреса);
- -e показывает исходящий интерфейс для каждого пакета;
- icmp - это фильтр, захватывающий только ICMP-трафик;
- -v выводит более пдробную информацию
- -nn не преобразует IP в имена хостов и порты в сервисы (например, покажет 80 вместо http)
Фильтр, захватывающий только ARP-трафик, который записывается сразу в файл capture для дальнейшего анализа
sudo tcpdump -ne arp -v > capture
TCP-флаги в заголовках пакетов tcpdump
TCP-флаги - это специальные одно-битовые индикаторы в заголовке TCP-сегмента, управляющие состоянием соединения. В выводе tcpdump они отображаются как однобуквенные сокращения в квадратных скобках [ ], например, [S], [P. ], [R. ].
Таблица
| Флаг | Буква | Полное название | Основное назначение |
|---|---|---|---|
| S | SYN | Synchronize | Инициирует соединение, "рукопожатие". |
| F | FIN | Finish | Аккуратно завершает соединение |
| P | PSH | Push | Требует "протолкнуть" данные приложению, не буферизируя |
| R | RST | Reset | Аварийно разрывает соединение |
| A | ACK | Acknowledgment | Подтверждает получение данных |
| U | URG | Urgent | Указывает на срочные данные (используется редко). |
| . | (точка) | ACK | Обычно означает флаг ACK, но отдельно не указан. Часто сочетается с другими: [S. ] = SYN-ACK |
Практическое применение:
- Flags [S.] — SYN-ACK: стандартный ответ сервера на запрос соединения;
- Flags [R.] — RST-ACK: немедленный сброс соединения. Может означать, что порт закрыт, или сработал файрвол;
- Flags [.] — ACK: фоновое подтверждение, часто идёт потоком при передаче данных;
- Flags [P.] — PSH-ACK: пакет с данными, которые нужно доставить приложению немедленно (например, часть HTTP-запроса).