Adatcsomagokat próbál rögzíteni a hálózati forgalom elemzése érdekében? Lehet, hogy Ön szervergazda, aki beleütközött egy problémába, és szeretné figyelni a hálózaton továbbított adatokat. Bármi legyen is a helyzet, a tcpdump Linux segédprogramra van szüksége.
Ebben a cikkben részletesen tárgyaljuk a tcpdump parancsot, valamint néhány útmutatót a tcpdump Linux rendszerre történő telepítéséhez és használatához.
Mi a tcpdump parancs?
Tcpdump egy hatékony hálózati felügyeleti eszköz, amely lehetővé teszi a felhasználó számára a csomagok és a forgalom hatékony szűrését a hálózaton. Részletes információkat kaphat a TCP/IP -ről és a hálózaton továbbított csomagokról. A Tcpdump egy parancssori segédprogram, ami azt jelenti, hogy Linux nélkül is futtathatja kijelző nélkül.
A rendszergazdák integrálhatják a tcpdump segédprogramot is cron különböző feladatok, például naplózás automatizálása érdekében. Mivel számos funkciója meglehetősen sokoldalúvá teszi, a tcpdump hibaelhárításként és biztonsági eszközként is működik.
A tcpdump telepítése Linuxra
Bár a legtöbb esetben a tcpdump előre telepítve van a rendszerre, egyes Linux disztribúciók nem a csomaggal együtt kerülnek szállításra. Ezért előfordulhat, hogy manuálisan kell telepítenie a segédprogramot a rendszerére.
A gombbal ellenőrizheti, hogy a tcpdump telepítve van -e a rendszerére melyik parancs.
which tcpdump
Ha a kimenet egy könyvtár elérési útját jeleníti meg ( /usr/bin/tcpdump ), akkor a rendszer telepítette a csomagot. Ha azonban nem, akkor könnyen megteheti a rendszer alapértelmezett csomagkezelőjével.
A tcpdump telepítése Debian-alapú disztribúciókra, például Ubuntu:
sudo apt-get install tcpdump
A tcpdump telepítése a CentOS -ra is egyszerű.
sudo yum install tcpdump
Arch-alapú disztribúciókról:
sudo pacman -S tcpdump
Telepítés a Fedorára:
sudo dnf install tcpdump
Ne feledje, hogy a tcpdump csomag megköveteli libcap függőségként, ezért feltétlenül telepítse azt a rendszerére is.
Tcpdump példák hálózati csomagok rögzítésére Linuxon
Most, hogy sikeresen telepítette a tcpdump -ot Linux -gépére, itt az ideje néhány csomag figyelésére. Mivel a tcpdump a legtöbb művelet végrehajtásához szuperfelhasználói engedélyeket igényel, hozzá kell adnia sudo parancsaira.
1. Sorolja fel az összes hálózati interfészt
Ha ellenőrizni szeretné, hogy mely hálózati interfészek érhetők el, használja a -D zászló a tcpdump paranccsal.
tcpdump -D
Elhaladva a --list-interfészek jelző argumentumként ugyanazt a kimenetet adja vissza.
tcpdump --list-interfaces
A kimenet a rendszerben található összes hálózati interfész listája lesz.
Miután megkapta a hálózati interfészek listáját, itt az ideje, hogy figyelje hálózatát csomagok rögzítésével a rendszeren. Bár megadhatja, hogy melyik felületet szeretné használni, a Bármi argumentum parancsa a tcpdump, hogy rögzítse a hálózati csomagokat bármely aktív interfész használatával.
tcpdump --interface any
A rendszer a következő kimenetet jeleníti meg.
hogyan indítsunk el egy tumblr blogot
Összefüggő: Mi a nyílt rendszerek összekapcsolási modellje?
2. A tcpdump kimeneti formátum
A harmadik sorból kiindulva a kimenet minden sora egy adott csomagot jelöl, amelyet a tcpdump rögzített. Így néz ki egyetlen csomag kimenete.
17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33
Ne feledje, hogy nem minden csomagot rögzítenek így, de ez az általános formátum, amelyet a legtöbb követ.
A kimenet a következő információkat tartalmazza.
- A fogadott csomag időbélyege
- Interfész neve
- Csomagáramlás
- A hálózati protokoll neve
- IP -cím és a port részletei
- TCP zászlók
- A csomagban lévő adatok sorszáma
- Ack adatok
- Ablak mérete
- Csomag hossza
Az első mező ( 17: 00: 25.369138 ) megjeleníti az időbélyeget, amikor a rendszer elküldte vagy megkapta a csomagot. A rögzített idő a rendszer helyi idejéből kerül ki.
milyen ramot használ a laptopom
A második és a harmadik mező a használt interfészt és a csomag áramlását jelöli. A fenti részletben, wlp0s20f3 a vezeték nélküli interfész neve és Ki a csomagáramlás.
A negyedik mező a hálózati protokoll nevével kapcsolatos információkat tartalmazza. Általában két protokollt talál: IP és IP6 , ahol az IP jelentése IPV4, az IP6 pedig az IPV6.
A következő mező tartalmazza a forrás- és célrendszer IP -címét vagy nevét. Az IP -címeket a portszám követi.
A kimenet hatodik mezője TCP -zászlókból áll. A tcpdump kimenetben különböző jelzőket használnak.
Zászló neve | Érték | Leírás |
---|---|---|
LÁTÁS | S | A kapcsolat elindult |
VÉGE | F | A kapcsolat befejeződött |
NYOM | P | Az adatok eltolódnak |
RST | R | A kapcsolat alaphelyzetbe áll |
JAJ | . | Elismerés |
A kimenet több TCP -jelző kombinációját is tartalmazhatja. Például, Zászló [f.] FIN-ACK csomagot jelent.
Tovább lépve a kimeneti kódrészletben, a következő mező tartalmazza a sorszámot ( 196: 568 ) a csomagban lévő adatokból. Az első csomagnak mindig pozitív egész értéke van, és a következő csomagok a relatív sorszámot használják az adatáramlás javítására.
A következő mező a nyugtázó számot tartalmazza ( ack 1 ), vagy egyszerű Ack szám. A feladó gépében rögzített csomag nyugtázó száma 1. A vevő végén az Ack szám a következő csomag értéke.
A kimenet kilencedik mezője tartalmazza az ablak méretét ( győzelem 309 ), ami a fogadó pufferben rendelkezésre álló bájtok száma. Számos más mező is követi az ablak méretét, beleértve a maximális szegmensméretet (MSS).
Az utolsó mező ( hossza 33 ) tartalmazza a tcpdump által rögzített teljes csomag hosszát.
3. Korlátozza a rögzített csomagok számát
A tcpdump parancs első futtatása közben észreveheti, hogy a rendszer addig folytatja a hálózati csomagok rögzítését, amíg meg nem ad egy megszakítási jelet. Ezt az alapértelmezett viselkedést felülbírálhatja, ha előre megadja a rögzíteni kívánt csomagok számát a -c zászló.
tcpdump --interface any -c 10
A fent említett parancs tíz csomagot rögzít bármely aktív hálózati interfészről.
4. Csomagok szűrése mezők alapján
Amikor hibaelhárítást végez, a nagyméretű szövegkimenet blokkolása a terminálon nem könnyíti meg. Itt jön szóba a tcpdump szűrési funkciója. A csomagokat különböző mezők szerint szűrheti, beleértve a gazdagépet, a protokollt, a portszámot stb.
Csak TCP csomagok rögzítéséhez írja be:
tcpdump --interface any -c 5 tcp
Hasonlóképpen, ha a kimenetet a portszám segítségével szeretné szűrni:
tcpdump --interface any -c 5 port 50
A fent említett parancs csak a megadott porton keresztül továbbított csomagokat tölti le.
Egy adott gazdagép csomag részleteinek lekérése:
tcpdump --interface any -c 5 host 112.123.13.145
Ha egy adott gazdagép által küldött vagy fogadott csomagokat szeretné szűrni, használja a src vagy stb. érvelés a paranccsal.
tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145
Használhatja a logikai operátorokat is és és vagy hogy két vagy több kifejezést kombináljon. Például a forrás IP -hez tartozó csomagok beszerzéséhez 112.123.13.145 és használja a portot 80 :
tcpdump --interface any -c 10 src 112.123.13.145 and port 80
Az összetett kifejezéseket a segítségével lehet csoportosítani zárójelek alábbiak szerint:
tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'
5. Tekintse meg a csomag tartalmát
Használhatja a -NAK NEK és -x jelöli a tcpdump paranccsal a hálózati csomag tartalmának elemzéséhez. Az -NAK NEK zászló azt jelenti ASCII formátum és -x jelöli hexadecimális formátum.
A rendszer által rögzített következő hálózati csomag tartalmának megtekintése:
tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x
Kapcsolódó: Mi a csomagvesztés és hogyan lehet orvosolni annak okát?
6. Mentse a rögzítési adatokat egy fájlba
Ha referencia célokra szeretné menteni a rögzítési adatokat, akkor a tcpdump segít. Csak adja át a -ban ben jelöli az alapértelmezett paranccsal, hogy a kimenetet fájlba írja, ahelyett, hogy megjelenítené a képernyőn.
tcpdump --interface any -c 10 -w data.pcap
Az .pcap fájlkiterjesztés jelentése csomag rögzítése adat. A fent említett parancsot részletes módban is kiadhatja a -v zászló.
tcpdump --interface any -c 10 -w data.pcap -v
Olvasni a .pcap fájlt a tcpdump használatával, használja a -r zászlót, majd a fájl elérési útját. Az -r áll Olvas .
alumínium és rozsdamentes acél almaóra 2
tcpdump -r data.pcap
A hálózati csomagokat a fájlba mentett csomagadatokból is szűrheti.
tcpdump -r data.pcap port 80
A hálózati forgalom figyelése Linuxon
Ha azt a feladatot kapta, hogy felügyelje a Linux szervert, akkor a tcpdump parancs kiváló eszköz az arzenáljába. Könnyedén megoldhatja a hálózattal kapcsolatos problémákat, ha valós időben rögzíti a hálózaton továbbított csomagokat.
De mindezek előtt a készüléknek csatlakoznia kell az internethez. A Linux kezdők számára még a parancssoron keresztül történő Wi-Fi-hez való csatlakozás is kissé kihívást jelenthet. De ha a megfelelő eszközöket használja, akkor pillanatok alatt.
Részvény Részvény Csipog Email Hogyan csatlakozhat a Wi-Fi-hez a Linux terminálon keresztül az Nmcli segítségévelSzeretne csatlakozni Wi-Fi hálózathoz a Linux parancssoron keresztül? Itt van, amit tudnia kell az nmcli parancsról.
Olvassa tovább Kapcsolódó témák- Linux
- Biztonság
- Hálózati kriminalisztika
A Deepesh a MUO Linux -szerkesztője. Információs útmutatókat ír Linuxon, célja, hogy boldog élményt nyújtson minden újonnan érkezőnek. Nem biztos a filmekben, de ha a technológiáról akar beszélni, akkor ő a pasija. Szabadidejében találhat könyveket olvasni, különböző zenei műfajokat hallgatni vagy gitározni.
Továbbiak a Deepesh Sharma -tólIratkozzon fel hírlevelünkre
Csatlakozz hírlevelünkhöz, ahol technikai tippeket, értékeléseket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!
Feliratkozáshoz kattintson ide