tcpdump -l -s0 -w - tcp dst port 25 | strings | grep -i 'MAIL FROM\|RCPT TO'
Данная команда позволяет проанализировать трафик SMTP (Simple Mail Transfer Protocol) при помощи утилиты tcpdump и найти информацию о отправителях (MAIL FROM) и получателях (RCPT TO) в пакетах, направленных на порт 25.
Параметры:
-l: устанавливает линейный буфер вывода, что особенно полезно при онлайн анализе, чтобы результаты посредством grep-фильтрации появлялись почти сразу при поступлении пакетов.
-s0: задает размер пакета в байтах, передаваемых внешней программе для анализа (в данном случае — strings). Если используется 0, то tcpdump передает все данные, что достаточно полезно при анализе целых пакетов.
-w -: опция указывает, что полученные данные должны быть сохранены. Символ «-» значит, что вывод tcpdump будет направлен на стандартный вывод (STDOUT), где будут обработаны последующими утилитами.
tcp dst port 25: фильтр tcpdump, который фиксирует пакеты, отправленные на порт 25 (SMTP) протокола TCP.
| strings: утилита, которая извлекает текстовую информацию из бинарных данных.
| grep -i ‘MAIL FROM\|RCPT TO’: утилита, которая выбирает из строк, выведенных strings, только те, которые содержат указанные команды: MAIL FROM и RCPT TO.
Альтернативой данной команде может служить использование сниффера Wireshark, который обладает более широким функционалом, но более сложен в использовании. Вместо grep можно использовать awk или sed, чтобы более точно выбрать нужную информацию. Передаваемые параметрами команды аргументы: tcp dst port 25 — фильтр поиск поступающего трафика на порт SMTP.