A tcpdump használata és 6 példa

A tcpdump használata és 6 példa

Adatcsomagokat próbál rögzíteni a hálózati forgalom elemzése érdekében? Lehet, hogy Ön szervergazda, aki beleütközött egy problémába, és szeretné figyelni a hálózaton továbbított adatokat. Bármi legyen is a helyzet, a tcpdump Linux segédprogramra van szüksége.





Ebben a cikkben részletesen tárgyaljuk a tcpdump parancsot, valamint néhány útmutatót a tcpdump Linux rendszerre történő telepítéséhez és használatához.



Mi a tcpdump parancs?

Tcpdump egy hatékony hálózati felügyeleti eszköz, amely lehetővé teszi a felhasználó számára a csomagok és a forgalom hatékony szűrését a hálózaton. Részletes információkat kaphat a TCP/IP -ről és a hálózaton továbbított csomagokról. A Tcpdump egy parancssori segédprogram, ami azt jelenti, hogy Linux nélkül is futtathatja kijelző nélkül.





A rendszergazdák integrálhatják a tcpdump segédprogramot is cron különböző feladatok, például naplózás automatizálása érdekében. Mivel számos funkciója meglehetősen sokoldalúvá teszi, a tcpdump hibaelhárításként és biztonsági eszközként is működik.

A tcpdump telepítése Linuxra

Bár a legtöbb esetben a tcpdump előre telepítve van a rendszerre, egyes Linux disztribúciók nem a csomaggal együtt kerülnek szállításra. Ezért előfordulhat, hogy manuálisan kell telepítenie a segédprogramot a rendszerére.



A gombbal ellenőrizheti, hogy a tcpdump telepítve van -e a rendszerére melyik parancs.

which tcpdump

Ha a kimenet egy könyvtár elérési útját jeleníti meg ( /usr/bin/tcpdump ), akkor a rendszer telepítette a csomagot. Ha azonban nem, akkor könnyen megteheti a rendszer alapértelmezett csomagkezelőjével.



A tcpdump telepítése Debian-alapú disztribúciókra, például Ubuntu:

sudo apt-get install tcpdump

A tcpdump telepítése a CentOS -ra is egyszerű.



sudo yum install tcpdump

Arch-alapú disztribúciókról:

sudo pacman -S tcpdump

Telepítés a Fedorára:

sudo dnf install tcpdump

Ne feledje, hogy a tcpdump csomag megköveteli libcap függőségként, ezért feltétlenül telepítse azt a rendszerére is.

Tcpdump példák hálózati csomagok rögzítésére Linuxon

Most, hogy sikeresen telepítette a tcpdump -ot Linux -gépére, itt az ideje néhány csomag figyelésére. Mivel a tcpdump a legtöbb művelet végrehajtásához szuperfelhasználói engedélyeket igényel, hozzá kell adnia sudo parancsaira.

1. Sorolja fel az összes hálózati interfészt

Ha ellenőrizni szeretné, hogy mely hálózati interfészek érhetők el, használja a -D zászló a tcpdump paranccsal.

tcpdump -D

Elhaladva a --list-interfészek jelző argumentumként ugyanazt a kimenetet adja vissza.

tcpdump --list-interfaces

A kimenet a rendszerben található összes hálózati interfész listája lesz.

Miután megkapta a hálózati interfészek listáját, itt az ideje, hogy figyelje hálózatát csomagok rögzítésével a rendszeren. Bár megadhatja, hogy melyik felületet szeretné használni, a Bármi argumentum parancsa a tcpdump, hogy rögzítse a hálózati csomagokat bármely aktív interfész használatával.

tcpdump --interface any

A rendszer a következő kimenetet jeleníti meg.

hogyan indítsunk el egy tumblr blogot

Összefüggő: Mi a nyílt rendszerek összekapcsolási modellje?

2. A tcpdump kimeneti formátum

A harmadik sorból kiindulva a kimenet minden sora egy adott csomagot jelöl, amelyet a tcpdump rögzített. Így néz ki egyetlen csomag kimenete.

17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33

Ne feledje, hogy nem minden csomagot rögzítenek így, de ez az általános formátum, amelyet a legtöbb követ.

A kimenet a következő információkat tartalmazza.

  1. A fogadott csomag időbélyege
  2. Interfész neve
  3. Csomagáramlás
  4. A hálózati protokoll neve
  5. IP -cím és a port részletei
  6. TCP zászlók
  7. A csomagban lévő adatok sorszáma
  8. Ack adatok
  9. Ablak mérete
  10. Csomag hossza

Az első mező ( 17: 00: 25.369138 ) megjeleníti az időbélyeget, amikor a rendszer elküldte vagy megkapta a csomagot. A rögzített idő a rendszer helyi idejéből kerül ki.

milyen ramot használ a laptopom

A második és a harmadik mező a használt interfészt és a csomag áramlását jelöli. A fenti részletben, wlp0s20f3 a vezeték nélküli interfész neve és Ki a csomagáramlás.

A negyedik mező a hálózati protokoll nevével kapcsolatos információkat tartalmazza. Általában két protokollt talál: IP és IP6 , ahol az IP jelentése IPV4, az IP6 pedig az IPV6.

A következő mező tartalmazza a forrás- és célrendszer IP -címét vagy nevét. Az IP -címeket a portszám követi.

A kimenet hatodik mezője TCP -zászlókból áll. A tcpdump kimenetben különböző jelzőket használnak.

Zászló neveÉrtékLeírás
LÁTÁSSA kapcsolat elindult
VÉGEFA kapcsolat befejeződött
NYOMPAz adatok eltolódnak
RSTRA kapcsolat alaphelyzetbe áll
JAJ.Elismerés

A kimenet több TCP -jelző kombinációját is tartalmazhatja. Például, Zászló [f.] FIN-ACK csomagot jelent.

Tovább lépve a kimeneti kódrészletben, a következő mező tartalmazza a sorszámot ( 196: 568 ) a csomagban lévő adatokból. Az első csomagnak mindig pozitív egész értéke van, és a következő csomagok a relatív sorszámot használják az adatáramlás javítására.

A következő mező a nyugtázó számot tartalmazza ( ack 1 ), vagy egyszerű Ack szám. A feladó gépében rögzített csomag nyugtázó száma 1. A vevő végén az Ack szám a következő csomag értéke.

A kimenet kilencedik mezője tartalmazza az ablak méretét ( győzelem 309 ), ami a fogadó pufferben rendelkezésre álló bájtok száma. Számos más mező is követi az ablak méretét, beleértve a maximális szegmensméretet (MSS).

Az utolsó mező ( hossza 33 ) tartalmazza a tcpdump által rögzített teljes csomag hosszát.

3. Korlátozza a rögzített csomagok számát

A tcpdump parancs első futtatása közben észreveheti, hogy a rendszer addig folytatja a hálózati csomagok rögzítését, amíg meg nem ad egy megszakítási jelet. Ezt az alapértelmezett viselkedést felülbírálhatja, ha előre megadja a rögzíteni kívánt csomagok számát a -c zászló.

tcpdump --interface any -c 10

A fent említett parancs tíz csomagot rögzít bármely aktív hálózati interfészről.

4. Csomagok szűrése mezők alapján

Amikor hibaelhárítást végez, a nagyméretű szövegkimenet blokkolása a terminálon nem könnyíti meg. Itt jön szóba a tcpdump szűrési funkciója. A csomagokat különböző mezők szerint szűrheti, beleértve a gazdagépet, a protokollt, a portszámot stb.

Csak TCP csomagok rögzítéséhez írja be:

tcpdump --interface any -c 5 tcp

Hasonlóképpen, ha a kimenetet a portszám segítségével szeretné szűrni:

tcpdump --interface any -c 5 port 50

A fent említett parancs csak a megadott porton keresztül továbbított csomagokat tölti le.

Egy adott gazdagép csomag részleteinek lekérése:

tcpdump --interface any -c 5 host 112.123.13.145

Ha egy adott gazdagép által küldött vagy fogadott csomagokat szeretné szűrni, használja a src vagy stb. érvelés a paranccsal.

tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145

Használhatja a logikai operátorokat is és és vagy hogy két vagy több kifejezést kombináljon. Például a forrás IP -hez tartozó csomagok beszerzéséhez 112.123.13.145 és használja a portot 80 :

tcpdump --interface any -c 10 src 112.123.13.145 and port 80

Az összetett kifejezéseket a segítségével lehet csoportosítani zárójelek alábbiak szerint:

tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'

5. Tekintse meg a csomag tartalmát

Használhatja a -NAK NEK és -x jelöli a tcpdump paranccsal a hálózati csomag tartalmának elemzéséhez. Az -NAK NEK zászló azt jelenti ASCII formátum és -x jelöli hexadecimális formátum.

A rendszer által rögzített következő hálózati csomag tartalmának megtekintése:

tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x

Kapcsolódó: Mi a csomagvesztés és hogyan lehet orvosolni annak okát?

6. Mentse a rögzítési adatokat egy fájlba

Ha referencia célokra szeretné menteni a rögzítési adatokat, akkor a tcpdump segít. Csak adja át a -ban ben jelöli az alapértelmezett paranccsal, hogy a kimenetet fájlba írja, ahelyett, hogy megjelenítené a képernyőn.

tcpdump --interface any -c 10 -w data.pcap

Az .pcap fájlkiterjesztés jelentése csomag rögzítése adat. A fent említett parancsot részletes módban is kiadhatja a -v zászló.

tcpdump --interface any -c 10 -w data.pcap -v

Olvasni a .pcap fájlt a tcpdump használatával, használja a -r zászlót, majd a fájl elérési útját. Az -r áll Olvas .

alumínium és rozsdamentes acél almaóra 2
tcpdump -r data.pcap

A hálózati csomagokat a fájlba mentett csomagadatokból is szűrheti.

tcpdump -r data.pcap port 80

A hálózati forgalom figyelése Linuxon

Ha azt a feladatot kapta, hogy felügyelje a Linux szervert, akkor a tcpdump parancs kiváló eszköz az arzenáljába. Könnyedén megoldhatja a hálózattal kapcsolatos problémákat, ha valós időben rögzíti a hálózaton továbbított csomagokat.

De mindezek előtt a készüléknek csatlakoznia kell az internethez. A Linux kezdők számára még a parancssoron keresztül történő Wi-Fi-hez való csatlakozás is kissé kihívást jelenthet. De ha a megfelelő eszközöket használja, akkor pillanatok alatt.

Részvény Részvény Csipog Email Hogyan csatlakozhat a Wi-Fi-hez a Linux terminálon keresztül az Nmcli segítségével

Szeretne csatlakozni Wi-Fi hálózathoz a Linux parancssoron keresztül? Itt van, amit tudnia kell az nmcli parancsról.

Olvassa tovább Kapcsolódó témák
  • Linux
  • Biztonság
  • Hálózati kriminalisztika
A szerzőről Deepesh Sharma(79 cikk megjelent)

A Deepesh a MUO Linux -szerkesztője. Információs útmutatókat ír Linuxon, célja, hogy boldog élményt nyújtson minden újonnan érkezőnek. Nem biztos a filmekben, de ha a technológiáról akar beszélni, akkor ő a pasija. Szabadidejében találhat könyveket olvasni, különböző zenei műfajokat hallgatni vagy gitározni.

Továbbiak a Deepesh Sharma -tól

Iratkozzon fel hírlevelünkre

Csatlakozz hírlevelünkhöz, ahol technikai tippeket, értékeléseket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!

Feliratkozáshoz kattintson ide