Tcpdumpin käyttö ja 6 esimerkkiä

Tcpdumpin käyttö ja 6 esimerkkiä

Yritätkö kaapata datapaketteja analysoidaksesi verkkosi liikennettä? Ehkä olet palvelimen järjestelmänvalvoja, joka on törmännyt ongelmaan ja haluaa seurata verkossa lähetettyjä tietoja. Olipa tilanne mikä tahansa, tcpdump Linux -apuohjelma on mitä tarvitset.





Tässä artikkelissa keskustelemme yksityiskohtaisesti tcpdump -komennosta sekä joitakin oppaita tcpdumpin asentamisesta ja käyttämisestä Linux -järjestelmässäsi.



Mikä on tcpdump -komento?

Tcpdump on tehokas verkonseurantatyökalu, jonka avulla käyttäjä voi suodattaa paketteja ja liikennettä tehokkaasti verkossa. Saat yksityiskohtaisia ​​tietoja TCP/IP: stä ja verkossa lähetetyistä paketeista. Tcpdump on komentorivityökalu, mikä tarkoittaa, että voit käyttää sitä Linux-palvelimilla ilman näyttöä.





Järjestelmänvalvojat voivat myös integroida tcpdump -apuohjelman cron automatisoida erilaisia ​​tehtäviä, kuten lokitietoja. Koska sen lukuisat ominaisuudet tekevät siitä varsin monipuolisen, tcpdump toimii vianetsintä- ja suojaustyökaluna.

Kuinka asentaa tcpdump Linuxiin

Vaikka useimmiten tcpdump on esiasennettu järjestelmään, jotkin Linux -jakelut eivät tule paketin mukana. Siksi sinun on ehkä asennettava apuohjelma manuaalisesti järjestelmääsi.



Voit tarkistaa, onko tcpdump asennettu järjestelmääsi käyttämällä joka komento.

which tcpdump

Jos tulostuksessa näkyy hakemistopolku ( /usr/bin/tcpdump ), niin järjestelmä on asennettu pakettiin. Jos ei, voit tehdä sen helposti järjestelmän oletuspaketinhallinnan avulla.



Tcpdumpin asentaminen Debian-pohjaisiin jakeluihin, kuten Ubuntu:

sudo apt-get install tcpdump

Tcpdumpin asentaminen CentOS: iin on myös helppoa.



sudo yum install tcpdump

Arch-pohjaiset jakelut:

sudo pacman -S tcpdump

Asennus Fedoraan:

sudo dnf install tcpdump

Huomaa, että tcpdump -paketti vaatii libcap riippuvuus, joten varmista, että asennat sen myös järjestelmään.

Tcpdump -esimerkkejä verkkopakettien kaappaamisesta Linuxissa

Nyt kun olet asentanut tcpdumpin Linux -koneellesi, on aika seurata joitain paketteja. Koska tcpdump vaatii pääkäyttäjän oikeuksia useimpien toimintojen suorittamiseen, sinun on lisättävä sudo käskyihisi.

1. Listaa kaikki verkkoliitännät

Voit tarkistaa, mitkä verkkoliitännät ovat käytettävissä kaappaamiseen, käyttämällä -D lippu tcpdump -komennolla.

tcpdump -D

Ohittaminen --list-rajapinnat lippu argumenttina palauttaa saman tuloksen.

tcpdump --list-interfaces

Tulos on luettelo kaikista järjestelmässäsi olevista verkkoliitännöistä.

Verkkorajapintojen luettelon saamisen jälkeen on aika seurata verkkoa kaappaamalla järjestelmään paketteja. Vaikka voit määrittää, mitä käyttöliittymää haluat käyttää, minkä tahansa argumentti komentaa tcpdump kaapata verkkopaketteja millä tahansa aktiivisella käyttöliittymällä.

tcpdump --interface any

Järjestelmä näyttää seuraavan lähdön.

mikä muu on iPhonen tallennustilassa

Aiheeseen liittyviä: Mikä on avoimien järjestelmien yhteenliittämismalli?

2. tcpdump -tulostusmuoto

Alkaen kolmannesta rivistä, jokainen tulostusrivi osoittaa tietyn paketin, jonka tcpdump on kaapannut. Tässä on yhden paketin tulostus.

17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33

Muista, että kaikkia paketteja ei kaapata tällä tavalla, mutta tämä on yleinen muoto, jota useimmat niistä seuraavat.

Tulos sisältää seuraavat tiedot.

  1. Vastaanotetun paketin aikaleima
  2. Käyttöliittymän nimi
  3. Pakettivirta
  4. Verkkoprotokollan nimi
  5. IP -osoite ja portin tiedot
  6. TCP -liput
  7. Paketin tietojen järjestysnumero
  8. Ack tiedot
  9. Ikkunan koko
  10. Paketin pituus

Ensimmäinen kenttä ( 17: 00: 25.369138 ) näyttää aikaleiman, kun järjestelmäsi lähetti tai vastaanotti paketin. Tallennettu aika saadaan järjestelmän paikallisesta ajasta.

kuinka asentaa windows uudelleen usb: ltä

Toinen ja kolmas kenttä ilmaisevat käytetyn rajapinnan ja paketin kulun. Yllä olevassa katkelmassa wlp0s20f3 on langattoman liittymän nimi ja Ulos on pakettivirta.

Neljäs kenttä sisältää verkkoprotokollan nimeen liittyviä tietoja. Yleensä löydät kaksi protokollaa- IP ja IP6 , jossa IP tarkoittaa IPV4: tä ja IP6 IPV6: ta.

Seuraava kenttä sisältää lähde- ja kohdejärjestelmän IP -osoitteet tai nimen. IP -osoitteiden perässä on portin numero.

Tuloksen kuudes kenttä koostuu TCP -lipuista. Tcpdump -ulostulossa käytetään erilaisia ​​lippuja.

Lipun nimiArvoKuvaus
NÄKYSYhteys aloitettu
LOPPUFYhteys valmis
TYÖNTÄÄPTietoja työnnetään
RSTRYhteys palautetaan
VALITETTAVASTI.Kuittaus

Lähtö voi myös sisältää useiden TCP -lippujen yhdistelmän. Esimerkiksi, LIPPU [f.] tarkoittaa FIN-ACK-pakettia.

Kun siirryt tulostuskatkelmassa pidemmälle, seuraava kenttä sisältää järjestysnumeron ( seuraavat 196: 568 ) paketin tiedoista. Ensimmäisellä paketilla on aina positiivinen kokonaislukuarvo, ja seuraavat paketit käyttävät suhteellista järjestysnumeroa datavirran parantamiseen.

Seuraavassa kentässä on kuittausnumero ( ack 1 ) tai yksinkertainen Ack -numero. Lähettäjän koneeseen kaapatussa paketissa on 1 kuittausnumero. Vastaanottimen päässä Ack -numero on seuraavan paketin arvo.

Tuloksen yhdeksäs kenttä sisältää ikkunan koon ( voittaa 309 ), joka on vastaanottopuskurissa käytettävissä olevien tavujen määrä. On olemassa useita muita kenttiä, jotka seuraavat ikkunan kokoa, mukaan lukien segmentin enimmäiskoko (MSS).

Viimeinen kenttä ( pituus 33 ) sisältää tcpdumpin sieppaaman kokonaispaketin pituuden.

3. Rajoita kaapattujen pakettien määrää

Kun suoritat tcpdump -komentoa ensimmäistä kertaa, saatat huomata, että järjestelmä jatkaa verkkopakettien sieppaamista, kunnes välität keskeytyssignaalin. Voit ohittaa tämän oletuskäyttäytymisen määrittämällä pakettien määrän, jotka haluat kaapata etukäteen käyttämällä -c lippu.

tcpdump --interface any -c 10

Edellä mainittu komento kaappaa kymmenen pakettia mistä tahansa aktiivisesta verkkoliittymästä.

4. Suodata paketit kenttien perusteella

Kun etsit ongelmaa vianmäärityksessä, suuren tekstin lähetyksen saaminen päätelaitteeseesi ei helpota sitä. Siellä tcpdumpin suodatusominaisuus tulee käyttöön. Voit suodattaa paketit eri kenttien mukaan, mukaan lukien isäntä, protokolla, portin numero ja paljon muuta.

Jos haluat kaapata vain TCP -paketteja, kirjoita:

tcpdump --interface any -c 5 tcp

Samoin, jos haluat suodattaa lähdön portin numeron avulla:

tcpdump --interface any -c 5 port 50

Edellä mainittu komento hakee vain tietyn portin kautta lähetetyt paketit.

Tietyn isännän pakettitietojen saaminen:

tcpdump --interface any -c 5 host 112.123.13.145

Jos haluat suodattaa tietyn isännän lähettämät tai vastaanottamat paketit, käytä src tai jne argumentti komennolla.

tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145

Voit käyttää myös loogisia operaattoreita ja ja tai yhdistää kaksi tai useampia ilmaisuja yhteen. Esimerkiksi saada paketteja, jotka kuuluvat lähde -IP -osoitteeseen 112.123.13.145 ja käytä porttia 80 :

tcpdump --interface any -c 10 src 112.123.13.145 and port 80

Monimutkaiset lausekkeet voidaan ryhmitellä käyttämällä suluissa seuraavasti:

tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'

5. Tarkastele paketin sisältöä

Voit käyttää -TO ja -x tcpdump -komennolla, joka analysoi verkkopaketin sisällön. The -TO lippu tarkoittaa ASCII muoto ja -x merkitsee heksadesimaali muoto.

Seuraavan järjestelmän kaapatun verkkopaketin sisällön tarkasteleminen:

tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x

Aiheeseen liittyviä: Mikä on paketin menetys ja kuinka korjata sen syy?

6. Tallenna talteenottotiedot tiedostoon

Jos haluat tallentaa sieppaustiedot viitteellisiin tarkoituksiin, tcpdump auttaa sinua. Ohita vain -sisään lippu oletuskomennolla kirjoittaaksesi tuloksen tiedostoon sen sijaan, että se näytettäisiin näytöllä.

tcpdump --interface any -c 10 -w data.pcap

The .pcap tiedostopääte tarkoittaa pakettien sieppaus tiedot. Voit myös antaa edellä mainitun komennon yksityiskohtaisessa tilassa käyttämällä -v lippu.

tcpdump --interface any -c 10 -w data.pcap -v

Luettavaksi a .pcap tiedoston tcpdump avulla, käytä -r lippu ja sen jälkeen tiedoston polku. The -r tarkoittaa Lukea .

iphone 12 pro ja pro max ero
tcpdump -r data.pcap

Voit myös suodattaa verkkopaketteja tiedostoon tallennetusta pakettidatasta.

tcpdump -r data.pcap port 80

Verkkoliikenteen seuranta Linuxissa

Jos sinulle on annettu tehtäväksi hallita Linux -palvelinta, tcpdump -komento on loistava työkalu sisällyttää arsenaaliisi. Voit helposti korjata verkkoon liittyviä ongelmia kaappaamalla verkossa lähetetyt paketit reaaliajassa.

Mutta ennen kaikkea laitteesi on oltava yhteydessä Internetiin. Linux-aloittelijoille jopa yhteyden muodostaminen Wi-Fi-verkkoon komentorivin kautta voi olla hieman haastavaa. Mutta jos käytät oikeita työkaluja, se on helppoa.

Jaa Jaa Tweet Sähköposti Kuinka muodostaa yhteys Wi-Fi-verkkoon Linux-päätelaitteen kautta Nmclillä

Haluatko muodostaa yhteyden Wi-Fi-verkkoon Linux-komentorivin kautta? Tässä on mitä sinun tarvitsee tietää nmcli -komennosta.

Lue seuraava Liittyvät aiheet
  • Linux
  • Turvallisuus
  • Verkon oikeuslääketiede
Kirjailijasta Deepesh Sharma(79 artikkelia julkaistu)

Deepesh on MUO: n nuorempi editori Linuxille. Hän kirjoittaa informaatio -oppaita Linuxissa ja pyrkii tarjoamaan autuaan kokemuksen kaikille uusille tulokkaille. Et ole varma elokuvista, mutta jos haluat puhua tekniikasta, hän on kaverisi. Vapaa -ajallaan löydät hänet lukemasta kirjoja, kuuntelemassa erilaisia ​​musiikkilajeja tai soittamassa kitaraa.

Lisää Deepesh Sharmasta

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi