You are on page 1of 8

5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility


SOL411: Overview of packet tracing with the tcpdump Applies To: Hide Versions 
utility BIG­IP LTM
11.6.0, 11.5.2, 11.5.1, 11.5.0,
11.4.1, 11.4.0, 11.3.0, 11.2.1,
11.2.0, 11.1.0, 11.0.0, 10.2.4,
Overview 10.2.3, 10.2.2, 10.2.1, 10.2.0,
10.1.0, 10.0.1, 10.0.0, 9.6.1, 9.6.0,
9.4.8, 9.4.7, 9.4.6, 9.4.5, 9.4.4,
Original Publication Date: 05/16/2007 9.4.3, 9.4.2, 9.4.1, 9.4.0, 9.3.1,
Updated Date: 04/30/2015 9.3.0, 9.2.5, 9.2.4, 9.2.3, 9.2.2,
9.2.0, 9.1.3, 9.1.2, 9.1.1, 9.1.0,
9.0.5, 9.0.4, 9.0.3, 9.0.2, 9.0.1,
Running the tcpdump utility 9.0.0
    Selecting an Interface or VLAN BIG­IP AAM
    Disabling name resolution  11.6.0, 11.5.2, 11.5.1, 11.5.0,
Saving tcpdump output to a file 11.4.1, 11.4.0
    Binary file BIG­IP AFM
11.6.0, 11.5.2, 11.5.1, 11.5.0,
    Text file  11.4.1, 11.4.0, 11.3.0
Reading tcpdump binary file output BIG­IP Analytics
Filters 11.6.0, 11.5.2, 11.5.1, 11.5.0,
    Filtering on a host address 11.4.1, 11.4.0, 11.3.0, 11.2.1,
11.2.0, 11.1.0, 11.0.0
    Filtering on a port
    Filtering on a tcp flag  11.6.0, 11.5.2, 11.5.1, 11.5.0,
    Combining filters with the and operator  11.4.1, 11.4.0, 11.3.0, 11.2.1,
11.2.0, 11.1.0, 11.0.0, 10.2.4,
Capturing packet data 
10.2.3, 10.2.2, 10.2.1, 10.2.0,
Suppressing hostname and port resolution 10.1.0
Combining tcpdump options BIG­IP ASM
Advanced tcpdump topics 11.6.0, 11.5.2, 11.5.1, 11.5.0,
11.4.1, 11.4.0, 11.3.0, 11.2.1,
Supplemental information 11.2.0, 11.1.0, 11.0.0, 10.2.4,
10.2.3, 10.2.2, 10.2.1, 10.2.0,
The tcpdump utility is a command line packet sniffer with many features and 10.1.0, 10.0.1, 10.0.0, 9.4.8, 9.4.7,
options. For a full description, refer to the tcpdump man pages by typing the 9.4.6, 9.4.5, 9.4.4, 9.4.3, 9.4.2,
9.4.1, 9.4.0, 9.3.1, 9.3.0, 9.2.5,
following command: 9.2.4, 9.2.3, 9.2.2, 9.2.0
man tcpdump 11.6.0, 11.5.2, 11.5.1, 11.5.0,
11.4.1, 11.4.0, 11.3.0, 11.2.1,
Running the tcpdump utility 11.2.0, 11.1.0, 11.0.0, 10.2.4,
10.2.3, 10.2.2, 10.2.1, 10.2.0,­us/solutions/public/0000/400/sol411.print.html 1/8 tcpdump ­i external 10.1 11.2. 9. 9. 11.3.2. 2.0.2. To tcpdump a specific vlan: BIG­IP WebAccelerator tcpdump ­i internal 10. 10.2.2. 10. 1. tcpdump ­i <interface> 9.0.0. 3.1.0. 9. 11. in the output.0. 11. 10. 9. 10.f5.2. 9.2.3. it selects the lowest numbered interface. 11. 9.0.1. 11. 10. Selecting an Interface or VLAN Note:  Do not attempt to run tcpdump on an interface that contains a colon. 11.0. 9.0. By default.0.2.2. 9.3. 10.2. tcpdump attempts to look up IP addresses and use names. 10. 10. 9.4. 11. 9. 9. 9.5. 10.0.4. 9.2. 2. tcpdump ­i 1.0. 10.4.4. To select an interface.0 BIG­IP PSM tcpdump ­i 2. 11. tcpdump ­i eth0 11. To disable name resolution. By default.6. 11.4. 1. 11. 11. 10.0. 11. so the lookups can be time consuming and the output may be confusing.0.5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility Following are examples of commands used to run the tcpdump utility: 10. 10. 11. 9. 1.4.0 than numbers. 10.5. rather 10. BIG­IP Edge Gateway Disabling name resolution 9. 2. 11. 10.2. 9. 10.1. eth0:mgmt 1.0. To tcpdump a specific interface: 10. 9.5. 9.0 To tcpdump the management interface: BIG­IP WOM 11.5. 10. 10.4. For example: BIG­IP PEM 11.4. 10.8. 9.4.html 2/8 . 9.2.2. 9. 10.5.0. 11. 11. 11.3. 11.4.­us/solutions/public/0000/400/sol411. 9.2.4. 9. 11. 9. 9.0. as follows: 10.4. 11. 10.4.1. 9.0. 9. 9.0.2. 11. 11.4. 10. Enterprise Manager For example: 9.1. use the ­i flag.3.2.1. 10. use the ­n flag as in the following examples: tcpdump ­n https://support. 10.0.1. 11.2.4. 9. 10.2. 9. The BIG­IP system must wait for a response from the DNS server.2. 11. 11.4.3. 9.2.2. 11. 9.4.2 BIG­IP Link Controller The tcpdump utility is able to sniff for packets on only one interface or VLAN.4. 9.

5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility tcpdump ­ni internal Saving tcpdump output to a file You can save the tcpdump data to one of the following file formats: A binary file that contains all the information collected by the tcpdump and is readable by the tcpdump utility as well as many other traffic analysis packages. type the following command: tcpdump ­w <filename> For example: tcpdump ­w dump1.f5. but is readable only as plain text. type the following command: tcpdump ­r <filename> For example: https://support. When working with F5 Technical Support.print. press CTRL­C.html 3/8 . Text file To save the tcpdump output to a text file. you must provide the tcpdump output in the binary file format.txt  Reading tcpdump binary file output To read data from a binary tcpdump file (that you saved by using the tcpdump ­w command). A text file that contains a subset of the full tcpdump data. To stop the capture. Binary file To save the tcpdump output to a binary file. type the following command: tcpdump ><filename> For example: tcpdump >dump1.bin Note: The tcpdump utility does not print data to the screen while it is capturing to a­us/solutions/public/0000/400/sol411.

3. and tcp flags.bin In this mode.90. Filtering on a host address To view all packets that are traveling to or from a specific IP address. Beginning in BIG­IP 11. 11. As a result. a pseudo header which includes the following parameters is added to the start of each binary tcpdump capture: The tcpdump command syntax used. type the following command: tcpdump host <IP address> For example: tcpdump host­us/solutions/public/0000/400/sol411.5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility tcpdump ­r dump1. type the following command: tcpdump src host <IP address> For example: tcpdump src host 10.0­HF3.html 4/8 . among other things. and 11. ports.2.2. restrict the output to specified addresses. you can use formatting commands and filters.1­HF3. the tcpdump utility reads stored packets from the file.f5.0.1 To view all packets that are traveling to a particular IP address. type the following command: tcpdump dst host <IP address> https://support. including all options Version of software Hostname of the system Platform ID Product Filters The tcpdump utility allows you to use filters to.1 To view all packets that are traveling from a specific IP address.100.print. but otherwise operates just as it would if it were reading from the network interface.

print. type the following command: tcpdump 'tcp[tcpflags] & (tcp­syn) != 0' To view all packets that are traveling through the BIG­IP system that contain the RST flag. type the following command: tcpdump dst port <port number> For example: tcpdump dst port 80 Filtering on a tcp flag To view all packets that are traveling through the BIG­IP system that contain the SYN flag.100. type the following­us/solutions/public/0000/400/sol411.5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility For example: tcpdump dst host 10.1 Filtering on a port To view all packets that are traveling through the BIG­IP system and are either sourced from or destined to a specific port.html 5/8 . type the following command: tcpdump src port<port number> For example: tcpdump src port 80 To view all packets that are traveling through the BIG­IP system and destined to a specific port.90. type the following command: tcpdump port <port number> For example: tcpdump port 80 To view all packets that are traveling through the BIG­IP system and sourced from a specific port.f5.

 use a value of 0 (zero).5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility command: tcpdump 'tcp[tcpflags] & (tcp­rst) != 0' Combining filters with the 'and' operator You can use the and operator to filter for a mixture of output.  For example: tcpdump ­r dump1.101.print. You can use the ­s (snarf/snaplen) option to specify the amount of each packet to capture.101.  For example: tcpdump ­s0 src host 172.1 and port 80 tcpdump src host  For example: tcpdump ­s200 src host 172.html 6/8 .16.16.20 and dst host 10. Following are some examples of useful combinations: tcpdump host 10.20 and dst port 80 Alternatively.20 and dst port 80 If you are using the tcpdump utility to examine the output on the console during capture or by reading from an input file with the ­r option.101.16.100. you should also use the ­X flag to display ASCII encoded output along with the default HEX encoded output.f5. To capture the entire­us/solutions/public/0000/400/sol411. you can specify a length large enough to capture the packet data you need to examine.100.20 and dst port 80 Suppressing hostname and port resolution https://support.1 Capturing packet data The tcpdump utility provides an option that allows you to specify the amount of each packet to capture.20 and dst port 80 tcpdump src host 172.bin ­X src host 172.16.90.

16. You will generally need to use most of the options in combination.101.  For example: tcpdump ­nn src host 172.5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility The tcpdump utility provides an option that allows you to specify whether IP addresses and service ports are translated to their corresponding hostnames and service names.20 and dst port 80 Service port lookups incur less overhead than DNS­based name resolutions. For example: tcpdump ­n src host 172.16.10 src host 172.20 and dst port 80 >dump1.1 host 10.cap dst host 172.bin host 10.16.1 and port 80 tcpdump ­ni 1.20 and dst port 80 Combining tcpdump options This article contains the most essential tcpdump­us/solutions/public/0000/400/sol411.20 and dst port 162 Advanced tcpdump topics The following articles cover advanced tcpdump topics: SOL1893: Packet trace analysis  SOL13637: Capturing internal TMM information with tcpdump SOL7227: Using tcpdump to view traffic on a tagged VLAN SOL13328: Troubleshooting LDAP authentication with tcpdump https://support.print.16. you should disable name resolution while capturing on a busy system using the ­n option.90.101.html 7/8 . Following are examples of how to combine the tcpdump options to provide the most meaningful output: tcpdump ­ni internal ­w dump1. but still are usually unnecessary while performing a capture.bin tcpdump ­n ­r dump1.f5. by using the ­nn option.txt tcpdump ­Xs200 ­nni eth0 ­w /var/tmp/mgmt.100. You can disable both name and service port resolution while performing a capture.101.1 tcpdump ­ni 2.100.90. Since performing multiple name lookups during a packet capture may be resource intensive.101.

html 8/8 .print.5/5/2015 SOL411 ­ Overview of packet tracing with the tcpdump utility SOL13301: Overview of packet tracing a BIG­IP APM Network Access tunnel with the tcpdump utility SOL7823: Troubleshooting and debugging Enterprise Manager iControl connectivity SOL5564: Saving large tcpdump packet traces when disk space is limited SOL2289: Using advanced tcpdump filters Supplemental information SOL6546: Recommended methods and limitations for running tcpdump on a BIG­IP system SOL4714: Performing a packet trace and providing the results to F5 Technical Support SOL10319: Using the tcpdump utility disables hardware checksum offloading­us/solutions/public/0000/400/sol411.