Apple udostępnia dostosowaną wersję tcpdump jako część systemu MacOS / OSX, która umożliwia wyświetlanie / filtrowanie informacji o metadanych przechwytywania pakietów - która zawiera szereg elementów (zobacz fragment strony podręcznika poniżej) oraz zawiera informacje o procesie. na przykład więc można go uruchomić, aby przechwytywać ruch tylko z przeglądarki Firefox ( -Q proc = firefox ) i wydrukować wszystkie informacje o metadanych pakietów ( -k ):
sudo tcpdump -Q proc = firefox -k
Lub możesz uruchomić go z opcjami -k i wyodrębnić i przeanalizować dane według nazwy / pid procesu. Aby uzyskać więcej informacji, zobacz man tcpdump - tutaj są odpowiednie sekcje (chociaż na stronie podręcznika jest więcej informacji na temat filtrów PKTAP):
-k Kontroluje wyświetlanie metadanych pakietu poprzez opcjonalny argument metadata_arg.
Jest to przydatne przy wyświetlaniu pakietów zapisanych w formacie pliku pcap-ng lub z rozszerzeniem
interfejsy obsługujące typ łącza danych PKTAP.
Domyślnie, jeśli opcjonalny argument metadata_arg nie jest określony,
drukowane są odpowiednie informacje o metadanych pakietu.
Argument metadata_arg steruje wyświetlaniem określonych metadanych pakietu
informacje przy użyciu słowa flagowego, gdzie każdy znak odpowiada typowi
metadane pakietu w następujący sposób:
I nazwa interfejsu (lub identyfikator interfejsu)
Nazwa procesu
Identyfikator procesu P.
Klasa usług S.
Kierunek D.
Komentarz C.
Flagi C.
UUID procesu U (domyślnie niewidoczne)
Wyświetla wszystkie typy metadanych
To jest modyfikacja Apple.
-Q wyrażenie
Aby określić wyrażenie filtru na podstawie informacji o metadanych pakietu, takich jak inter-
nazwa twarzy lub procesu. Zostanie wyświetlony pakiet z pasującymi metadanymi pakietu lub
zapisany do pliku. Zobacz sekcję FILTR METADANYCH PAKIETÓW, aby poznać składnię pakietu
wyrażenia filtru metadanych.To jest dodatek Apple.