Phenquestions
Sākotnēji to 1988. gadā rakstīja četri Tīkla izpētes grupas darbinieki Lawrence Berkeley laboratorijā Kalifornijā. Vienpadsmit gadus vēlāk to organizēja Mišels Ričardsons un Bils Fenners 1999. gadā, izveidojot vietni tcpdump. Tcpdump darbojas visās Unix līdzīgajās operētājsistēmās. Tcpdump Windows versiju sauc par WinDump, un tā izmanto WinPcap, Windows alternatīvu libpcap.
Izmantojiet snap, lai instalētu tcpdump:
$ sudo snap install tcpdumpIzmantojiet pakotņu pārvaldnieku, lai instalētu tcpdump:
$ sudo apt-get install tcpdump (Debian / Ubuntu)$ sudo dnf instalējiet tcpdump (CentOS / RHEL 6 un 7)
$ sudo yum instalējiet tcpdump (Fedora / CentOS / RHEL 8)
Apskatīsim dažādus lietojumus un rezultātus, izpētot tcpdump!
UDP
Tcpdump var izmest arī UDP paketes. Mēs izmantosim rīku netcat (nc), lai nosūtītu UDP paketi un pēc tam to izmestu.
$ echo -n "tcpdumper" | nc -w 1 -u localhost 1337Iepriekš dotajā komandā mēs nosūtām UDP paketi, kas sastāv no virknes “Tcpdumper” uz UDP portu 1337. gads caur vietējais saimnieks. Tcpdump uztver paketi, kas tiek sūtīta pa UDP 1337 portu, un parādīs to.
Tagad mēs izmetīsim šo paketi, izmantojot tcpdump.
$ sudo tcpdump -i lo udp ports 1337 -vvv -XŠī komanda uztvers un parādīs sagūstītos datus no paketēm ASCII, kā arī sešstūra formā.
tcpdump: klausīšanās lo, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, nobīde 0, karodziņi [DF], UDP proto (17), garums 37)
vietējais saimnieks.54574> localhost.1337: [slikts udp cksum 0xfe24 -> 0xeac6!] UDP, 9. garums
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E…%… @.@…;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $ tcpd
0x0020: 756d 7065 72 buferis
Kā redzam, pakete tika nosūtīta uz portu 1337, un virknes garums bija 9 tcpdumper ir 9 baiti. Mēs varam arī redzēt, ka pakete ir parādīta sešstūra formātā.
DHCP
Tcpdump var veikt arī DHCP pakešu izpēti tīklā. DHCP izmanto UDP portu Nr. 67 vai 68, tāpēc mēs definēsim un ierobežosim tcpdump tikai DHCP paketēm. Pieņemsim, ka mēs izmantojam wifi tīkla saskarni.
Šeit izmantotā komanda būs:
tcpdump: klausīšanās wlan0, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti
03:52:04.004356 00: 11: 22: 33: 44: 55> 00: 11: 22: 33: 44: 66, ethertype IPv4 (0x0800), garums 342: (tos 0x0, ttl 64, id 39781, 0 nobīde, karodziņi [DF ], UDP proto (17), garums 328)
192.168. lpp.10.21.68> 192.168. lpp.10.1.67: [udp summa ok] BOOTP / DHCP, pieprasījums no 00: 11: 22: 33: 44: 55, garums 300, xid 0xfeab2d67, karodziņi [nav] (0x0000)
Klients-IP 192.168. lpp.10.16
Klienta Ethernet adrese 00: 11: 22: 33: 44: 55
Vendor-rfc1048 paplašinājumi
Burvju sīkfails 0x63825363
DHCP ziņojums (53), 1. garums: atbrīvošana
Servera ID (54), garums 4: 192.168. lpp.10.1
Saimnieka nosaukums (12), 6. garums: "papagailis"
END (255), garums 0
PAD (0), garums 0, notiek 42
DNS
DNS, kas pazīstams arī kā domēna vārdu sistēma, apstiprina, ka sniedz jums visu, ko meklējat, saskaņojot domēna nosaukumu ar domēna adresi. Lai pārbaudītu ierīces DNS līmeņa saziņu internetā, varat izmantot tcpdump šādi. DNS saziņai izmanto UDP 53. portu.
$ sudo tcpdump -i wlan0 udp 53. portstcpdump: klausīšanās wlan0, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, nobīde 0, karodziņi [DF], UDP proto (17), garums 72)
192.168. lpp.10.16.45899> viens.viens.viens.viens.domēns: [udp summa ok] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, nobīde 0, karodziņi [DF], UDP proto (17), garums 104)
viens.viens.viens.viens.domēns> 192.168. lpp.10.16.45899: [udp summa ok] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249, mozilla.cloudflare-dns.com. [24s] A 104.16.248. lpp.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, nobīde 0, karodziņi [DF], UDP proto (17), garums 66)
192.168. lpp.10.16.34043> viens.viens.viens.viens.domēns: [udp summa ok] 40757+ PTR? 1.1.1.1.in-addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, nobīde 0, karodziņi [DF], UDP proto (17), garums 95)
viens.viens.viens.viens.domēns> 192.168. lpp.10.16.34043: [udp summa ok] 40757 q: PTR? 1.1.1.1.in-addr.arpa. 1/0/01.1.1.1.in-addr.arpa. [26m53s] PTR viens.viens.viens.viens. (67)
ARP
Adreses izšķiršanas protokols tiek izmantots saites slāņa adreses, piemēram, MAC adreses, atklāšanai. Tas ir saistīts ar noteiktu interneta slāņa adresi, parasti ar IPv4 adresi.
Mēs izmantojam tcpdump, lai uztvertu un lasītu arp paketēs esošos datus. Komanda ir tikpat vienkārša kā:
$ sudo tcpdump -i wlan0 arp -vvvtcpdump: klausīšanās wlan0, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), Pieprasiet kam ir 192.168. lpp.10.1 pateikt 192.168. lpp.10.2, garums 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), Pieprasiet, kam ir 192.168. lpp.10.21 pateikt 192.168. lpp.10.1, garums 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), Atbildēt 192.168. lpp.10.21 ir pulksten 00: 11: 22: 33: 44: 55 (oui nezināms), garums 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), Pieprasiet, kam ir 192.168. lpp.10.1 pateikt 192.168. lpp.10.2, garums 28
ICMP
ICMP, kas pazīstams arī kā interneta vadības ziņojumu protokols, ir atbalsta protokols interneta protokolu komplektā. ICMP tiek izmantots kā informatīvs protokols.
Lai saskarnē apskatītu visas ICMP paketes, mēs varam izmantot šo komandu:
$ sudo tcpdump icmp -vvvtcpdump: klausīšanās wlan0, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, offset 0, karodziņi [DF], proto ICMP (1), garums 84)
192.168. lpp.10.16> 192.168. lpp.10.1: ICMP atbalss pieprasījums, ID 47363, 1. secība, garums 64
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, offset 0, flags [none], proto ICMP (1), garums 84)
192.168. lpp.10.1> 192.168. lpp.10.16: ICMP atbalss atbilde, ID 47363, 1. secība, 64. garums
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, nobīde 0, karodziņi [DF], proto ICMP (1), garums 84)
192.168. lpp.10.16> 192.168. lpp.10.1: ICMP atbalss pieprasījums, ID 47363, 2. secība, 64. garums
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, offset 0, karodziņi [nav], prototipa ICMP (1), garums 84)
192.168. lpp.10.1> 192.168. lpp.10.16: ICMP atbalss atbilde, ID 47363, 2. secība, 64. garums
NTP
NTP ir tīkla protokols, kas īpaši izstrādāts, lai sinhronizētu laiku mašīnu tīklā. Lai uztvertu datplūsmu uz ntp:
$ sudo tcpdump dst 123. ports04:31:05.547856 IP (tos 0x0, ttl 64, id 34474, nobīde 0, karodziņi [DF], UDP proto (17), garums 76)
192.168. lpp.10.16.ntp> time-b-wvv.nist.gov.ntp: [udp summa ok] NTPv4, klients, 48 garums
Lēciena indikators: pulkstenis nav sinhronizēts (192), Stratum 0 (nenoteikts), 3. aptauja (8 s), precizitāte -6
Saknes aizkavēšanās: 1.000000, sakņu dispersija: 1.000000, atsauces ID: (unspec)
Atsauces laika zīmogs: 0.000000000
Izveidotāja laika zīmogs: 0.000000000
Saņemt laika zīmogu: 0.000000000
Pārraides laika zīmogs: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Izveidotājs - saņemšanas laika zīmogs: 0.000000000
Izveidotājs - pārraides laika zīmogs: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, nobīde 0, karodziņi [nav], UDP proto (17), garums 76)
laiks-b-wvv.nist.gov.ntp> 192.168. lpp.10.16.ntp: [udp summa ok] NTPv3, serveris, 48 garums
Lēciena rādītājs: (0), Stratum 1 (galvenā atsauce), 13. aptauja (8192s), precizitāte -29
Saknes aizkave: 0.000244, Sakņu dispersija: 0.000488, atsauces ID: NIST
Atsauces laika zīmogs: 3825358208.000000000 (2021-03-21T23: 30: 08Z)
Izveidotāja laika zīmogs: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Saņemt laika zīmogu: 3825358275.028660181 (2021-03-21T23: 31: 15Z)
Pārraides laika zīmogs: 3825358275.028661296 (2021-03-21T23: 31: 15Z)
Izveidotājs - saņemšanas laika zīmogs: +9.480896026
Izveidotājs - pārraides laika zīmogs: +9.480897141
SMTP
SMTP vai vienkāršs pasta pārsūtīšanas protokols galvenokārt tiek izmantots e-pastiem. Tcpdump to var izmantot, lai iegūtu noderīgu e-pasta informāciju. Piemēram, lai iegūtu e-pasta adresātus / sūtītājus:
$ sudo tcpdump -n -l ports 25 | grep -i 'PASTS NO \ | RCPT UZ'IPv6
IPv6 ir IP “nākamā paaudze”, nodrošinot plašu IP adrešu klāstu. IPv6 palīdz sasniegt ilgtermiņa interneta veselību.
Lai tvertu IPv6 trafiku, izmantojiet IP6 filtru, norādot TCP un UDP protokolus, izmantojot protokolu 6 un proto-17.
$ sudo tcpdump -n -i jebkurš ip6 -vvvtcpdump: datu saites tips LINUX_SLL2
tcpdump: jebkuras saites tipa LINUX_SLL2 (Linux Cooking v2) klausīšanās, momentuzņēmuma garums 262144 baiti
04:34:31.847359 lo IP6 (plūsmas etiķete 0xc7cb6, hlim 64, nākamās galvenes UDP (17) lietderīgās slodzes garums: 40) :: 1.49395> :: 1.49395: [slikts udp cksum 0x003b -> 0x3587!] UDP, garums 32
04:34:31.859082 lo IP6 (plūsmas etiķete 0xc7cb6, hlim 64, nākamās galvenes UDP (17) lietderīgās slodzes garums: 32) :: 1.49395> :: 1.49395: [slikts udp cksum 0x0033 -> 0xeaef!] UDP, garums 24
04:34:31.860361 lo IP6 (plūsmas etiķete 0xc7cb6, hlim 64, nākamās galvenes UDP (17) lietderīgās slodzes garums: 40) :: 1.49395> :: 1.49395: [slikts udp cksum 0x003b -> 0x7267!] UDP, garums 32
04:34:31.871100 lo IP6 (plūsmas etiķete 0xc7cb6, hlim 64, nākamās galvenes UDP (17) lietderīgās slodzes garums: 944) :: 1.49395> :: 1.49395: [slikts udp cksum 0x03c3 -> 0xf890!] UDP, garums 936
Notvertas 4 paciņas
Ar filtru saņemtas 12 paciņas
0 paketes, kuras izmetis kodols
'-C 4' nodrošina tikai līdz 4 pakešu skaitu. Mēs varam norādīt pakešu skaitu līdz n un uztvert n pakešu.
HTTP
Hiperteksta pārsūtīšanas protokols tiek izmantots datu pārsūtīšanai no tīmekļa servera uz pārlūku, lai skatītu tīmekļa lapas. HTTP izmanto TCP veidlapas saziņu. Konkrēti, tiek izmantots TCP ports 80.
Lai drukātu visas IPv4 HTTP paketes uz 80. portu un no tā:
tcpdump: klausīšanās wlan0, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti03:36:00.602104 IP (tos 0x0, ttl 64, id 722, nobīde 0, karodziņi [DF], TCP proto (6), garums 60)
192.168. lpp.10.21.33586> 192.168. lpp.10.1.http: Flags [S], cksum 0xa22b (pareizs), seq 2736960993, win 64240, opcijas [mss 1460, sackOK, TS val 389882294 ecr 0, nop, wscale 10], garums 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, nobīde 0, karodziņi [DF], TCP proto (6), garums 60)
192.168. lpp.10.1.http> 192.168. lpp.10.21.33586: Karogi [S.], cksum 0x2dcc (pareizs), seq 4089727666, ack 2736960994, win 14480, opcijas [mss 1460, sackOK, TS val 30996070 ecr 389882294, nop, wscale 3], garums 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, nobīde 0, karodziņi [DF], prototransporta TCP (6), garums 52)
192.168. lpp.10.21.33586> 192.168. lpp.10.1.http: Karogi [.], cksum 0x94e2 (pareizs), 1. sek., ack 1, win 63, opcijas [nop, nop, TS val 389882297 ecr 30996070], garums 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, nobīde 0, karodziņi [DF], TCP proto (6), garums 481)
HTTP pieprasījumi ..
192.168. lpp.10.21.33586> 192.168. lpp.10.1.http: Karogi [P.], cksum 0x9e5d (pareizi), 1. sek .: 430, ack 1, win 63, opcijas [nop, nop, TS val 389882297 ecr 30996070], garums 429: HTTP, garums: 429GET / HTTP / 1.1
Saimnieks: 192.168. lpp.10.1
Lietotāja aģents: Mozilla / 5.0 (Windows NT 10.0; rv: 78.0) Gecko / 20100101 Firefox / 78.0
Pieņemt: text / html, application / xhtml + xml, application / xml; q = 0.9, attēls / tīmekļa vietne, * / *; q = 0.8
Pieņemt valodu: en-US, en; q = 0.5
Accept-Encoding: gzip, deflate
DNT: 1
Savienojums: uzturēt dzīvu
Sīkdatne: _TESTCOOKIESUPPORT = 1; SID = c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Jaunināšanas, nedrošības pieprasījumi: 1
Arī atbildes tiek uztvertas
192.168. lpp.10.1.http> 192.168. lpp.10.21.33586: Karogi [P.], cksum 0x84f8 (pareizi), 1. sek .: 523, ack 430, win 1944, opcijas [nop, nop, TS val 30996179 ecr 389882297], garums 522: HTTP, garums: 522HTTP / 1.1 200 OK
Serveris: ZTE tīmekļa serveris 1.0 ZTE corp 2015.
Pieņemt diapazonus: baiti
Savienojums: aizveriet
X-Frame-Options: SAMEORIGIN
Kešatmiņas kontrole: nav kešatmiņas, nav veikala
Satura garums: 138098
Sīkdatnes iestatīšana: _TESTCOOKIESUPPORT = 1; PATH = /; HttpTikai
Content-Type: teksts / html; rakstzīme = utf-8
X-Content-Type-Options: nosniff
Satura drošības politika: rāmju priekšteču "self" "nedrošs-inline" "nedrošs-eval"; img-src "self" dati :;
X-XSS aizsardzība: 1; režīms = bloķēt
Set-Cookie: SID =; derīguma termiņš = otrdiena, 1970. gada 1. janvāris 00:00:00 GMT; ceļš = /; HttpTikai
TCP
Lai tvertu tikai TCP paketes, šī komanda darīs visu labu:
$ sudo tcpdump -i wlan0 tcptcpdump: klausīšanās wlan0, saites tipa EN10MB (Ethernet), momentuzņēmuma garums 262144 baiti
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, nobīde 0, karodziņi [nav], TCP proto (6), garums 104)
tl-in-f189.1e100.tīkls.https> 192.168. lpp.10.16.50272: Karogi [P.], cksum 0xc924 (pareizs), seq 1377740065: 1377740117, ack 1546363399, win 300, options [nop, nop, TS val 13149401 ecr 3051434098], garums 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, nobīde 0, karodziņi [DF], TCP proto (6), garums 52)
192.168. lpp.10.16.50272> tl-in-f189.1e100.tīkls.https: karodziņi [.], cksum 0xf898 (pareizs), 1. sek., ack 52, win 63, opcijas [nop, nop, TS val 3051461952 ecr 13149401], garums 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, offset 0, karodziņi [DF], TCP proto (6), garums 88)
192.168. lpp.10.16.50272> tl-in-f189.1e100.tīkls.https: Karogi [P.], cksum 0x2531 (pareizs), sek. 1:37, ack 52, win 63, opcijas [nop, nop, TS val 3051463260 ecr 13149401], garums 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, offset 0, karodziņi [DF], TCP proto (6), garums 88)
192.168. lpp.10.16.50434> hkg12s18-in-f14.1e100.tīkls.https: Karogi [P.], cksum 0xb21e (pareizs), seq 328391782: 328391818, ack 3599854191, win 63, opcijas [nop, nop, TS val 3656137742 ecr 2564108387], garums 36
Notvertas 4 paciņas
Filtrā saņemtas 4 paciņas
0 paketes, kuras izmetis kodols
Parasti TCP pakešu uztveršana rada lielu trafiku; varat detalizēti norādīt savas prasības, uzņemšanai pievienojot filtrus, piemēram:
Osta
Norāda uzraudzāmo portu
Avota IP
Lai skatītu paketes no noteikta avota
Galamērķa IP
Lai skatītu paketes uz noteiktu galamērķi
Pakešu uztveršanas saglabāšana failos
Lai saglabātu pakešu tveršanu vēlākai analīzei, mēs varam izmantot tcpdump opciju -w, kurai nepieciešams faila nosaukuma parametrs. Šie faili tiek saglabāti pcap (pakešu tveršanas) faila formātā, ko var izmantot pakešu tveršanas saglabāšanai vai nosūtīšanai.
Piemēram:
$ sudo tcpdumpMēs varam pievienot filtrus, ja vēlamies tvert TCP, UDP vai ICMP paketes utt.
Lasot pakešu uztveršanu no failiem
Diemžēl saglabāto failu nevar lasīt, izmantojot parastās komandas “lasīt failu”, piemēram, kaķis utt. Rezultāts ir viss, izņemot neķītru, un ir grūti pateikt, kas atrodas failā. '-r' lieto, lai nolasītu pakotnes, kas saglabātas mapē .pcap fails, kuru agrāk glabāja '-w' vai cita programmatūra, kas glabā pcaps:
$ sudo tcpdump -rTādējādi dati, kas savākti no notvertajām paketēm, termināla ekrānā tiek izdrukāti lasāmā formātā.
Tcpdump cheatsheet
Tcpdump var izmantot kopā ar citām Linux komandām, piemēram, grep, sed utt., lai iegūtu noderīgu informāciju. Šeit ir dažas noderīgas kombinācijas un atslēgvārdi, kas apvienoti ar tcpdump, lai iegūtu vērtīgu informāciju.
Izvilkt HTTP lietotāja aģentus:
$ sudo tcpdump -n | grep "User-Agent:"Vietrāžus URL, kas pieprasīti, izmantojot HTTP, var uzraudzīt, izmantojot tcpdump, piemēram:
$ sudo tcpdump -v -n | egrep -i "POST / | GET / | Host:"Jūs varat arī Iegūstiet HTTP paroles POST pieprasījumos
$ sudo tcpdump -nn -l | egrep -i "POST / | pwd = | passwd = | parole = | Host:"Servera vai klienta puses sīkdatnes var iegūt, izmantojot:
$ sudo tcpdump -n | egrep -i 'Set-Cookie | Host: | Cookie:'Uzņemiet DNS pieprasījumus un atbildes, izmantojot:
$ sudo tcpdump -i wlp58s0 -s0 53. portsIzdrukājiet visas parastā teksta paroles:
$ sudo tcpdump ports http vai ports ftp vai ports smtp vai ports imap vai ports pop3 vai ports telnet -l -A | egrep -i -B5 'pass = | pwd = | log = | login = | user = | lietotājs | lietotājvārds = | pw = | passw = | passwd = | parole = | pass: | lietotājs: | lietotājvārds: | parole: | pieteikšanās: | caurlaide 'Parasti Tcpdump filtri
- -A Parāda paketes ASCII formātā.
- -c Tveramo pakešu skaits.
- -skaitīt Drukāt pakešu skaitu tikai tad, kad lasāt uzņemto failu.
- -e Drukāt MAC adreses un saites līmeņa galvenes.
- -h vai -palīdzība Izdrukā versiju un lietošanas informāciju.
- -versija Parādīt tikai versijas informāciju.
- -i Norādiet tīkla saskarni, kurā tvert.
- -K Novērsiet mēģinājumus pārbaudīt jebkura paketes kontrolsummas. Pievieno ātrumu.
- -m
Norādiet izmantojamo moduli. - -n Nekonvertējiet adreses (t.i.e., resursdatora adreses, porta numuri utt.) uz nosaukumiem.
- -numuru Katras rindas sākumā izdrukājiet izvēles paketes numuru.
- -lpp Aizliegt saskarnei pāriet uz nederīgu režīmu.
- -J Izvēlieties tveramo pakešu virzienu. Sūtīt vai saņemt.
- -q Klusa / ātra izvade. Drukā mazāk informācijas. Rezultāti ir īsāki.
- -r
Izmanto, lai lasītu paketes no pcap . - -t Neuzdrukājiet laika zīmogu uz katras izgāztuves līnijas.
- -v Izdrukā vairāk informācijas par izvadi.
- -w
Rakstiet neapstrādātas paketes failā. - -x Drukā ASCII izvadi.
- -X Izdrukā ASCII ar sešstūru.
- -saraksts-saskarnes Parāda visas pieejamās tīkla saskarnes, kur paketes var tvert tcpdump.
Pārtraukšana
Tcpdump ir bijis ļoti plaši izmantots rīks, ko izmanto drošības / tīkla pētniecībā un lietojumprogrammās. Vienīgajam trūkumam tcpdump ir “Nav GUI”, taču tas ir pārāk labi, lai to neiekļautu topu sarakstā. Kā raksta Daniels Miesslers, “Protokolu analizatori, piemēram, Wireshark, ir lieliski, taču, ja vēlaties patiesi apgūt pakešu-fu, jums vispirms jākļūst par tcpdump.”
