Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: tools.tcpdump.expression

Что это такое?

Это фильтр для отбора пакетов в трассу.

Зачем это нужно?

Чтобы выбрать только интересующие вас пакеты, и не загромождать трассу всеми остальными.

ВНИМАНИЕ! Если tcpdump запускается на том же интерфейсе, через который осуществляется доступ к устройству, то необходимо создать избирательный фильтр, чтобы пропускать только конкретно интересующие вас пакеты (например, ICMP) или отсекать все пакеты того протокола, по которому вы работаете с устройством (HTTP, HTTPS, SSH или Telnet). В противном случае вы получите лавину пакетов о своих же пакетах о своих же пакетах о своих же пакетах...

Как это настроить?

Выражение составляется из одного или нескольких примитивов, соединённых операторами. Примеры простейших выражений (одиночных примитивов):

host X.X.X.X
tcpdump захватывает только пакеты, содержащие заданный адрес (не важно, в качестве источника или назначения). Вместо адреса может использоваться также имя хоста, если на устройстве включён клиент DNS.
dst host X.X.X.X
Только пакеты с заданным адресом назначения.
src host X.X.X.X
Только пакеты с заданным адресом источника.
net XXXX
Сеть с подразумеваемой по умолчанию маской; пишется только ненулевая часть адреса сети, например, 10, 172.16, или 192.168.1. Аналогично для src net и dst net.
net X.X.X.X mask Y.Y.Y.Y
Сеть с явно указанными адресом и маской. Аналогично для src net ... mask и dst net ... mask.
ip proto номер
Протокол 4 уровня модели OSI. Указывается номером или названием. Названия tcp, udp, icmp и т.п. необходимо предварять обратным слэшем (\), поскольку они совпадают с соответствующими ключевыми словами.
tcp, udp, icmp
Сокращённые обозначения для ip proto \tcp, ip proto \udp, ip proto \icmp, соответственно.
port N
Номер порта TCP или UDP. Аналогично для src port и dst port. Допускается только после указания протокола TCP или UDP.
portrange M-N
Диапазон номеров портов TCP или UDP. Аналогично для src portrange и dst portrange.

Выражение может содержать несколько примитивов, соединённых логическими операторами && (И), || (ИЛИ) и ! (НЕ). При вводе в nsgsh в этом случае его необходимо взять в кавычки, чтобы эти операторы не были восприняты как спецсимволы самой командной оболочки, например:

"!(host 1.2.3.4 && tcp port 80)" — исключить из трассы весь трафик HTTP с/на хост 1.2.3.4

Подробно о выражениях см. в man pages по tcpdump.

© Network Systems Group 2015–2025 Отдел документации