Apple bietet eine angepasste Version von tcpdump als Teil von MacOS / OSX an, mit der Metadateninformationen zur Paketerfassung angezeigt / gefiltert werden können. Diese enthalten eine Reihe von Elementen (siehe Manpage-Auszug unten) und enthält Prozessinformationen. z.B. Sie können es also ausführen, um nur Datenverkehr von Firefox ( -Q proc = Firefox ) zu erfassen und alle Paketmetadateninformationen ( -k ) auszudrucken:
sudo tcpdump -Q proc = Firefox -k
Oder Sie können es nur mit den Optionen -k ausführen und Daten pro Prozessname / PID extrahieren und analysieren. Weitere Informationen finden Sie unter man tcpdump - hier sind die relevanten Abschnitte (obwohl in der Manpage mehr über die PKTAP-Filter enthalten ist):
-k Steuern Sie die Anzeige von Paketmetadaten über ein optionales Argument metadata_arg.
Dies ist nützlich, wenn Pakete angezeigt werden, die im pcap-ng-Dateiformat oder mit gespeichert sind
Schnittstellen, die den PKTAP-Datenverbindungstyp unterstützen.
Wenn das optionale Argument metadata_arg nicht angegeben ist, steht standardmäßig Folgendes zur Verfügung:
Informationen zu möglichen Paketmetadaten werden ausgedruckt.
Das Argument metadata_arg steuert die Anzeige bestimmter Paketmetadaten
Informationen unter Verwendung eines Flaggenworts, wobei jedes Zeichen einem Typ von entspricht
Paketmetadaten wie folgt:
I Schnittstellenname (oder Schnittstellen-ID)
N Prozessname
P Prozess-ID
S Serviceklasse
D Richtung
C Kommentar
C-Flaggen
U-Prozess-UUID (standardmäßig nicht angezeigt)
Eine Anzeige aller Arten von Metadaten
Dies ist eine Apple-Modifikation.
-Q Ausdruck
So geben Sie einen Filterausdruck an, der auf Paketmetadateninformationen wie z.
Gesichts- oder Prozessname. Paket mit übereinstimmenden Paketmetadaten wird angezeigt oder
in einer Datei gespeichert. Die Syntax des Pakets finden Sie im Abschnitt PACKET METADATA FILTER
Metadatenfilterausdrücke.Dies ist eine Apple-Ergänzung.