tcpflow が楽しい - lql.be::hateda

パケットの中身を見るコマンドとして tcpdump が有名だけど、最近 tcpflow っていうコマンドがあることを知った。 tcpflow は tcpdump と比べてパケットの中身をより見やすくしてくれて大変すばらしい感じ。

debian 環境だけど、余裕の aptitude でインストールできる。

# aptitude install tcpflow

centos とかだと rpmfoge レポジトリにあるみたい。

# tcpflow -c

c オプションは、コンソールに内容を表示してログを保存しないようにするオプションでこれつけないで、うっかり起動させるとカレントディレクトリが残念なことになる

# tcpflow -c -i eth0

これで eth0 に流れるパケットを見ることができる。

# tcpflow -ce -i eth0

e オプションで、in と out で色分けしてくれるのでわかりやすくなる。

tcpdump のフィルタを使えるので使ってみる。

# tcpflow -ec port 80 -i eth0

port 80 に流れるパケットを見ることができる。

下記みたいにすればサーバ宛のhttpアクセスだけ見ることができる

# tcpflow -ec dst host [ipaddress] and dst port 80 -i eth0

ふむ、便利。