# TcpDump

Tcpdump là một trình phân tích gói tổng hợp chạy từ dòng lệnh và giúp lưu, kiểm tra và lọc các gói dữ liệu đến hệ thống. 

Nó cung cấp cho người dùng khả năng chụp và giám sát các gói TCP/IP hoặc các gói khác được truyền hoặc nhận qua mạng mà nó được kết nối. 

Tcpdump, được phân phối theo giấy phép BSD, là phần mềm nguồn mở không có phí giấy phép. 

Tcpdump chạy trên các hệ điều hành giống Unix (như Linux, Solaris, BSD, Mac OS X, HP-UX và AIX). 

Tcpdump sử dụng thư viện libpcap để bắt các gói trên các hệ thống này. 

Tcpdump dành cho Windows được gọi là WinDump và sử dụng WinPcap, một phiên bản libpcap được chuyển sang Windows. 

Như có thể hiểu từ định nghĩa này, TcpDump là một công cụ phân tích lưu lượng mạng có thể chạy trên nhiều nền tảng. TcpDump được cài đặt sẵn theo mặc định trên nhiều bản phân phối Linux. Nếu không, bạn có thể dễ dàng cài đặt nó bằng công cụ quản lý gói phân phối của mình.

## Operation and Network Interface Settings

Hãy chạy công cụ tcpdump:

<figure><img src="/files/KOyPPeiM2FXY3jp6sj9i" alt=""><figcaption></figcaption></figure>

Như có thể thấy trong ảnh chụp màn hình ở trên, chúng tôi gặp sự cố ở đây. Lý do cho điều này rất đơn giản.&#x20;

Trên hệ thống Linux, chúng tôi không thể truy cập một số tính năng, chẳng hạn như thu thập lưu lượng truy cập trên card mạng, với quyền truy cập của người dùng.&#x20;

Trong trường hợp này, chúng ta có hai lựa chọn để xem xét. Tùy chọn đầu tiên là chạy tcpdump bằng lệnh "**sudo**" và tùy chọn thứ hai, mặc dù được khuyến khích mạnh mẽ, là đăng nhập với tư cách người dùng root.&#x20;

Khi chạy tcpdump bằng lệnh sudo, chúng ta có thể quan sát thấy ứng dụng bắt đầu chạy ngay lập tức, quét tất cả các thẻ đang hoạt động trong hệ thống, nắm bắt lưu lượng truy cập trên chúng và hiển thị thông tin chi tiết của chúng.

<figure><img src="/files/M37eYYoIQRbMdp2oIT5r" alt=""><figcaption></figcaption></figure>

Trước khi đi sâu vào chi tiết các gói tin đã bắt được, chúng ta hãy xem các thông số cơ bản của công cụ tcpdump:&#x20;

Chúng ta có thể giám sát lưu lượng truy cập đi qua một hoặc nhiều card mạng trong hệ thống bằng cách sử dụng tcpdump.&#x20;

Chúng tôi sử dụng tham số "**-i**" để chỉ định thẻ nào sẽ được sử dụng

<figure><img src="/files/k1Bft3AQPYlbeAHQwIcw" alt=""><figcaption></figcaption></figure>

Trong ví dụ trên, trước tiên chúng tôi liệt kê các giao diện mạng đang hoạt động trên mạng của mình, sau đó khởi tạo tcpdump để nắm bắt tất cả lưu lượng truy cập trên giao diện "ens33".

## Capture Filters

<figure><img src="/files/3gV8mT0THHkxKrD48ZHI" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/ej3RmVOS6FbLi0F0uDRo" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/jPlbG9A0IYfP0LkZ40Zl" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/network/network-packet-analysis/tcpdump.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.