tcpdumpを使いこなす！

出力をフィルタリングするための条件式

　tcpdumpは、デフォルトの状態ではコンピュータ（-iオプションで指定されたNIC）に到着したすべてのパケットの情報を出力します。しかし、第1回でも述べたように、すべてのパケットの情報を出力すると情報量が膨大になるため、tcpdumpを使用する際にはしばしば出力結果に対してフィルタリングを行います。

　tcpdumpには出力をフィルタリングする条件式のためのキーワードが多数用意されており、これらのキーワードを組み合わせて作成した条件式が指定された場合、tcpdumpはその条件式が真（しん）となるパケットの情報のみ出力するようになります。

　条件式は前述したコマンドオプションの最後（[expression]の箇所）に1つ以上の引数として指定することができます。条件式として2つ以上の引数が指定された場合、tcpdumpはそれらの引数を空白で結合して1つの条件式を作成します。指定した条件式の中に括弧（()）などシェルのメタキャラクターが含まれるような場合には、条件式全体を引用符（'）でくくって1つの引数として指定するのがよいでしょう。

条件式の指定方法と例

　条件式は1つ以上の「修飾子」と「ID」から構成されます。修飾子には以下の3種類が存在します。

　1つ目が[Type]で、ここでは、IDの種類を表します。利用可能なものは、（ホストのアドレスを指定。例：192.0.2.3、example.jpなど）、（ネットワークアドレスを指定。例：192.0.2.0/24）、の3種類です。なお、修飾子が省略された場合はが指定されたと見なされます。

　2つ目が[Direction]で、IDが送受信ホストのどちらに当たるのかを表します。利用可能なものは、 、、、の4 通りです。

　3つ目が[Protocol]で、出力する情報を一部のプロトコルに限定します。利用可能なものは、 、 、 、 、 、 、 、 、 、、 、 、 、 、 、 です。

　条件式については、以下にいくつか例を紹介しておきます。

[tcpdump -n tcp and dst host 192.0.2.3]

　192.0.2.3に向けて送信されたTCPプロトコルのパケットの情報のみを出力します。

[tcpdump -n ip proto \tcp dst host 192.0.2.3]

　前述した例と同じ出力結果となります。プロトコルを（TCP/IPのように）2段階で明示する場合には、キーワードを用いることで実現できます。ただし、の次に指定しているtcpは修飾子のとは別の扱いとなります。そのため、このような形で条件式を記述する場合には、バックスラッシュ（\）で修飾子として扱われることを回避する必要があります。

[tcpdump -n src 192.0.2.3 and dst \( 192.0.2.4 or 192.0.2.5 \)]

　192.0.2.3から192.0.2.4または192.0.2.5へ向けて送信されたパケットの情報のみを出力します。括弧のようにシェルのメタキャラクターが含まれる場合は、シェルが誤って解釈するのを回避するためにバックスラッシュ(\)でエスケープするか、条件式全体を引用符（'）でくくる必要があります。なお、、の後にはが省略されていると見なされます。