Kuidas kasutada tcpdump ja 6 näidet

Kuidas kasutada tcpdump ja 6 näidet

Kas proovite hõivata andmepakette oma võrgu liikluse analüüsimiseks? Võib -olla olete serveri administraator, kes on probleemiga kokku puutunud ja soovib võrgus edastatud andmeid jälgida. Olgu olukord milline tahes, tcpdump Linuxi utiliit on see, mida vajate.





Selles artiklis käsitleme üksikasjalikult käsku tcpdump ja mõningaid juhendeid tcpdump'i installimiseks ja kasutamiseks oma Linuxi süsteemis.



Mis on tcpdump käsk?

Tcpdump on võimas võrguseire tööriist, mis võimaldab kasutajal tõhusalt filtreerida pakette ja liiklust võrgus. Saate üksikasjalikku teavet TCP/IP ja teie võrgus edastatavate pakettide kohta. Tcpdump on käsurea utiliit, mis tähendab, et saate seda käivitada Linuxi serverites ilma ekraanita.





Süsteemiadministraatorid saavad ka utiliidi tcpdump integreerida cron erinevate ülesannete, näiteks logimise automatiseerimiseks. Kuna selle arvukad funktsioonid muudavad selle üsna mitmekülgseks, töötab tcpdump nii tõrkeotsingu kui ka turvatööriistana.

Kuidas installida tcpdump Linuxisse

Kuigi enamasti leiate, et tcpdump on teie süsteemile eelinstallitud, ei saa mõned Linuxi distributsioonid paketiga kaasa. Seetõttu peate võib -olla utiliidi oma süsteemi käsitsi installima.



Saate kontrollida, kas tcpdump on teie süsteemi installitud, kasutades mis käsk.

which tcpdump

Kui väljundis kuvatakse kataloogi tee ( /usr/bin/tcpdump ), siis on teie süsteemile pakett installitud. Kui aga mitte, saate seda hõlpsalt teha, kasutades oma süsteemi vaikepaketihaldurit.



Tcpdump installimiseks Debiani põhistele distributsioonidele, näiteks Ubuntu:

sudo apt-get install tcpdump

Tcpdump'i installimine CentOS -i on samuti lihtne.



sudo yum install tcpdump

Arch-põhiste distributsioonide kohta:

sudo pacman -S tcpdump

Fedorasse installimiseks toimige järgmiselt.

sudo dnf install tcpdump

Pange tähele, et tcpdump pakett nõuab libcap sõltuvusena, seega veenduge, et installite selle ka oma süsteemi.

Tcpdump näited võrgupakettide hõivamiseks Linuxis

Nüüd, kui olete oma Linuxi masinasse tcpdump edukalt installinud, on aeg mõnda paketti jälgida. Kuna tcpdump vajab enamiku toimingute tegemiseks superkasutaja õigusi, peate selle lisama sudo teie käskudele.

1. Loetlege kõik võrguliidesed

Kasutatavate võrguliideste kontrollimiseks kasutage -D lipu käsuga tcpdump.

tcpdump -D

Möödudes -list-liidesed lipp argumendina tagastab sama väljundi.

tcpdump --list-interfaces

Väljundiks on kõigi teie süsteemis olevate võrguliideste loend.

Pärast võrguliideste loendi saamist on aeg jälgida oma võrku, jäädvustades oma süsteemis pakette. Kuigi saate määrata, millist liidest soovite kasutada, mis tahes argument käsutab tcpdump võrgupakettide hõivamiseks mis tahes aktiivse liidese abil.

tcpdump --interface any

Süsteem kuvab järgmise väljundi.

muusika mängimine telefonist autosse

Seotud: Mis on avatud süsteemide sidumismudel?

2. Väljundi vorming tcpdump

Alates kolmandast reast tähistab iga väljundi rida konkreetset paketti, mille on hõivanud tcpdump. Siin näeb välja ühe paketi väljund.

17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33

Pidage meeles, et mitte kõiki pakette ei püüta sel viisil, kuid see on üldine vorming, mida enamik neist järgib.

Väljund sisaldab järgmist teavet.

  1. Saadud paketi ajatempel
  2. Liidese nimi
  3. Paketi voog
  4. Võrguprotokolli nimi
  5. IP -aadress ja pordi üksikasjad
  6. TCP lipud
  7. Paketi andmete järjekorranumber
  8. Ack andmed
  9. Akna suurus
  10. Paki pikkus

Esimene väli ( 17: 00: 25.369138 ) kuvab ajatempli, millal teie süsteem paketi saatis või vastu võttis. Salvestatud aeg eraldatakse teie süsteemi kohalikust ajast.

kuidas sisestada riba Wordi

Teine ja kolmas väli tähistavad kasutatud liidest ja paketi voogu. Ülaltoodud katkendis wlp0s20f3 on traadita liidese nimi ja Välja on pakettide voog.

Neljas väli sisaldab võrguprotokolli nimega seotud teavet. Üldiselt leiate kaks protokolli- IP ja IP6 , kus IP tähistab IPV4 ja IP6 on IPV6.

Järgmine väli sisaldab IP -aadresse või allika ja sihtkoha süsteemi nime. IP -aadressidele järgneb pordi number.

Väljundi kuues väli koosneb TCP -lipudest. Tcpdump väljundis kasutatakse erinevaid lippe.

Lipu nimiVäärtusKirjeldus
NÄGEMINESÜhendus algas
LÕPPFÜhendus lõpetatud
LükkaPAndmed lükatakse edasi
RSTRÜhendus lähtestatakse
ALAS.Tunnustus

Väljund võib sisaldada ka mitme TCP lipu kombinatsiooni. Näiteks, LIPP [f.] tähistab FIN-ACK paketti.

Väljundilõigus edasi liikudes sisaldab järgmine väli järjekorranumbrit ( jr 196: 568 ) pakendis olevatest andmetest. Esimesel paketil on alati positiivne täisarv ja järgnevad paketid kasutavad andmevoo parandamiseks suhtelist järjekorranumbrit.

Järgmisel väljal on kinnitusnumber ( ack 1 ) või lihtne Ack -number. Saatja masinasse jäädvustatud paketil on kinnitusnumber 1. Vastuvõtja otsas on Acki number järgmise paketi väärtus.

Väljundi üheksas väli mahutab akna suuruse ( võita 309 ), mis on vastuvõtvas puhvris saadaolevate baitide arv. Akna suurust järgivad mitmed muud väljad, sealhulgas maksimaalne segmendi suurus (MSS).

Viimane väli ( pikkus 33 ) sisaldab kogu paketi pikkust, mille on hõivanud tcpdump.

3. Piirake hõivatud pakettide arvu

Käsu tcpdump esmakordsel käivitamisel võite märgata, et süsteem jätkab võrgupakettide hõivamist, kuni edastate katkestussignaali. Selle vaikekäitumise saate tühistada, määrates pakettide arvu, mille soovite enne jäädvustada, kasutades -c lipp.

tcpdump --interface any -c 10

Eespool nimetatud käsk salvestab kümme paketti mis tahes aktiivsest võrguliidesest.

4. Filtreerige paketid väljade põhjal

Probleemi tõrkeotsingul ei muuda terminali suure tekstivälja saamine seda lihtsamaks. Siin tuleb mängu tcpdump filtreerimisfunktsioon. Pakette saate filtreerida vastavalt erinevatele väljadele, sealhulgas hostile, protokollile, pordi numbrile ja muule.

Ainult TCP -pakettide jäädvustamiseks tippige:

tcpdump --interface any -c 5 tcp

Samamoodi, kui soovite väljundit pordi numbri abil filtreerida:

tcpdump --interface any -c 5 port 50

Eespool nimetatud käsk saab alla laadida ainult määratud pordi kaudu edastatud pakette.

Konkreetse hosti paketi üksikasjade hankimiseks toimige järgmiselt.

tcpdump --interface any -c 5 host 112.123.13.145

Kui soovite filtreerida konkreetse hosti saadetud või vastuvõetud pakette, kasutage src või jne argument käsuga.

tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145

Võite kasutada ka loogilisi operaatoreid ja ja või ühendada kaks või enam väljendit. Näiteks hankida pakette, mis kuuluvad allika IP -le 112.123.13.145 ja kasutage sadamat 80 :

tcpdump --interface any -c 10 src 112.123.13.145 and port 80

Keerulisi väljendeid saab rühmitada, kasutades sulgudes järgnevalt:

tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'

5. Vaadake paketi sisu

Võite kasutada -TO ja -x lipud tcpdump käsuga, et analüüsida võrgupaketi sisu. The -TO lipp tähistab ASCII vorming ja -x tähistab kuueteistkümnendarv vormingus.

Järgmise süsteemi hõivatud võrgupaketi sisu vaatamiseks tehke järgmist.

tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x

Seotud: Mis on pakettide kadu ja kuidas selle põhjust parandada?

6. Salvestage jäädvustusandmed faili

Kui soovite salvestusandmed viite eesmärgil salvestada, aitab teid tcpdump. Mööda lihtsalt -sisse lipu vaikekäsuga, et kirjutada väljund ekraanile kuvamise asemel faili.

tcpdump --interface any -c 10 -w data.pcap

The .pcap faililaiend tähistab pakettide püüdmine andmed. Eespool nimetatud käsu saate anda ka üksikasjalikus režiimis, kasutades -v lipp.

tcpdump --interface any -c 10 -w data.pcap -v

Et lugeda a .pcap faili kasutades tcpdump, kasutage -r lipp, millele järgneb faili tee. The -r tähistab Loe .

kuidas lisada kasutajaid sudoersile
tcpdump -r data.pcap

Võrgupakette saate filtreerida ka faili salvestatud pakettandmete hulgast.

tcpdump -r data.pcap port 80

Võrguliikluse jälgimine Linuxis

Kui teile on määratud Linuxi serveri haldamise ülesanne, on käsk tcpdump suurepärane vahend oma arsenali kaasamiseks. Võrguga seotud probleeme saate hõlpsalt lahendada, jäädvustades reaalajas võrgus edastatud pakette.

Kuid enne seda peab teie seade olema Internetiga ühendatud. Linuxi algajatele võib isegi käsurea kaudu WiFi-ga ühenduse loomine olla pisut keeruline. Aga kui kasutate õigeid tööriistu, on see kiire.

Jaga Jaga Piiksuma E -post Kuidas ühendada WiFi-ga Linuxi terminali kaudu Nmcli abil

Kas soovite ühenduse luua WiFi-võrguga Linuxi käsurea kaudu? Siin on, mida peate teadma käsu nmcli kohta.

Loe edasi Seotud teemad
  • Linux
  • Turvalisus
  • Võrgu kohtuekspertiis
Autori kohta Deepesh Sharma(79 artiklit avaldatud)

Deepesh on MUO Linuxi noorem toimetaja. Ta kirjutab Linuxis informatiivseid juhendeid, mille eesmärk on pakkuda kõigile uustulnukatele õndsat kogemust. Filmide osas pole kindel, aga kui soovite tehnoloogiast rääkida, on ta teie mees. Vabal ajal võite teda lugeda raamatuid, kuulata erinevaid muusikažanre või mängida kitarri.

Rohkem Deepesh Sharma'st

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!

Tellimiseks klõpsake siin