Conto conto tcpdump

Pin
Send
Share
Send

Upami anjeun kedah nganalisis atanapi nyegelkeun pakét jaringan dina Linux, langkung saé langkung-leres ngagunakeun utiliti konsol tcpdump. Tapi masalahna aya dina manajemén anu rada pajeulit. Éta sigana waé pikeun pangguna rata-rata anu damel sareng Utiliti henteu pikaresepeun, tapi ieu ukur ningal heula. Tulisan bakal ngajelaskeun kumaha hasil karya tcpdump, sintaksisna anu aya, kumaha ngagunakeunna, sareng seueur conto pamakean anu bakal dipasihkeun.

Tingali ogé: Pitunjuk pikeun nyetel konéksi Internét di Ubuntu, Debian, Server Ubuntu

Pamasangan

Kaseueuran pamekar sistem berbasis Linux kalebet utilitas tcpdump dina daptar anu tos dipasang, tapi upami aya alesan, éta sanés dina distribusi anjeun, anjeun tiasa teras-terasan diunduh sareng masangkeunana "Terminal". Upami OS anjeun dumasar kana Debian, sareng ieu Ubuntu, Linux Mint, Kali Linux sareng anu sanés, anjeun kedah ngajalankeun paréntah ieu:

sudo apt pasang tcpdump

Nalika pasang, anjeun kedah asupkeun kecap akses. Punten dicatet yén nalika mencet, éta henteu ditampilkeun, ogé pikeun mastikeun setelan anjeun kedah ngetik karakter D teras klik Lebetkeun.

Upami anjeun gaduh Red Hat, Fedora atanapi CentOS, maka paréntah instalasi sapertos kieu:

sudo yam pasang tcpdump

Saatos dipasang di utilitas, éta tiasa langsung dianggo. Ieu sareng seueur deui anu bakal dibahas engké dina téks.

Tingali ogé: Pitunjuk Pamasangan PHP di Server Ubuntu

Rumpaka

Kaya naon paréntah séjén, tcpdump ngabogaan sintaksis sorangan. Kéngingkeun anjeunna, anjeun tiasa nyetél sadaya parangkat anu dipikabutuh anu bakal kapayun nalika ngalaksanakeun paréntah na. Rumpaka nyaéta saperti kieu:

pilihan tcpdump-saringan antar muka

Nalika nganggo paréntah, anjeun kedah netepkeun antarmuka pikeun nyukcruk. Saringan sareng pilihan mangrupikeun variabel pilihan, tapi ngawenangkeun kustomisasi langkung fleksibel.

Pilihan

Sanaos teu perlu nunjukkeun pilihan, anjeun tetep kedah daptar anu sayogi. Tabel henteu nunjukkeun sadayana daptarna, tapi ngan anu pang populerna, tapi aranjeunna langkung ti cukup pikeun ngarengsekeun kalolobaan tugas.

PilihanWatesan
-ANgidinan anjeun nyusun bungkusan sareng pormat ASCII
-lNambihan fungsi gulung.
-iSaatos lebet lebet, anjeun kedah nambihan antarmuka jaringan anu bakal dipantau. Pikeun ngamimitian ngawaskeun sadaya antar muka, lebetkeun kecap "naon waé" saatos pilihan
-cNgeureunkeun prosés nyukcruk saatos marios jumlah anu ditangtoskeun tina pakét
-wNgahasilkeun file téks sareng laporan verifikasi
-eNunjukeun tingkat konéksi sambungan internét
-LDitampilkeun ngan ukur protokol anu dituju dina antarmuka jaringan anu ditetepkeun.
-CNyiptakeun file anu sanés nalika ngarékam bungkusan upami ukuranna langkung ageung batan anu ditangtoskeun
-rMuka file baca anu didamel nganggo pilihan -w
-jFormat TimeStamp bakal dipaké pikeun ngarékam pakét
-JNgidinan anjeun pikeun nempo sadaya format TimeStamp nu sayogi
-GNgawula nyiptakeun file log. Pilihan ogé butuh nilai samentawis, saatos éta log énggal bakal didamel
-v, -vv, -vvvGumantung kana jumlah karakter dina pilihan, kaluaran paréntah bakal janten langkung rinci (paningkatan éta langsung sabanding sareng jumlah karakter)
-fKaluaran nunjukkeun nami domain alamat IP
-FNgidinan maca inpormasi henteu tina antarmuka jaringan, tapi tina file anu ditangtoskeun
-DNunjukkeun sadayana antar muka jaringan anu tiasa dianggo.
-nNonaktivasi tampilan nami domain
-ZSebutkeun pangguna dina akun anu sadaya file bakal didamel.
-KAnalisis Cék Input
-qRingkesan Pidangkeun
-HMengesan 802.11s Lulugu
-IDipaké nalika motret pakét dina modeu monitor

Sanggeus parantos naliti pilihan, sakedik nurunkeun urang bakal langsung langsung ka aplikasina. Samentawis éta, saringan bakal dianggap.

Saringan

Sakumaha anu dinyatakeun dina awal awal tulisan, anjeun tiasa nambihan saringan kana sintaksis tcpdump. Ayeuna anu pang populerna di antarana bakal dianggap:

FilterWatesan
nu boga imahSebutkeun nami host
netNunjukkeun subnét IP sareng jaringan
ipSebutkeun alamat protokol
srcNampilkeun pakét anu dikirim tina alamat anu ditangtukeun
dstNampilkeun pakét anu ditampi ku alamat anu ditangtukeun
arp, udp, tcpNyaring ku salah sahiji protokol
palabuhanMintonkeun inpormasi anu aya hubunganana sareng port khusus
jeung, atanapiNgagabungkeun sababaraha saringan dina paréntah.
kirang langkung ageungPaket kaluaran langkung leutik atanapi langkung ageung tibatan ukuran anu ditangtoskeun

Sadaya saringan di luhur tiasa digabungkeun sareng anu sanés, janten dina ngaluarkeun paréntah anjeun ngan ukur tiasa ningali inpormasi anu anjeun hoyong tingali. Pikeun ngartos langkung rinci kana panggunaan saringan di luhur, éta perlu masihan conto.

Tingali ogé: Komando Dipaké sering di Terminal Linux

Conto Dianggo

Pilihan sintaksis anu sering dianggo pikeun paréntah tcpdump ayeuna bakal ditingalikeun. Sadaya teu tiasa didaptarkeun, sabab tiasa aya sajumlah variasi-na.

Tingali daptar hubungan

Disarankeun yén unggal pangguna mimiti pariksa daptar sadaya tina jaringan-jaringan na anu tiasa dilacak. Tina tabel di luhur kami terang yén pikeun ieu anjeun kedah nganggo pilihan -D, janten dina terminal, ngajalankeun paréntah di handap ieu:

sudo tcpdump -D

Hiji conto:

Sakumaha anjeun tiasa tingali, conto ngagaduhan dalapan hubungan anu tiasa ditingali nganggo paréntah tcpdump. Tulisan bakal masihan conto ppp0Anjeun tiasa nganggo anu sanés.

Nangkep lalu lintas normal

Upami anjeun kedah ngalacak hiji antarmuka jaringan, anjeun tiasa ngalakukeun ieu nganggo pilihan éta -i. Ulah hilap nuliskeun nami panganteur saatos ngetik. Ieu conto ngeunaan paréntah sapertos:

sudo tcpdump -i ppp0

Perhatikeun: sateuacan paréntah anjeun kedah ngalebetkeun "sudo", sabab meryogikeun hak superuser.

Hiji conto:

Catetan: saatos pencét Lebetkeun dina "Terminal", pakét anu dicegat bakal ditingalikeun terus. Pikeun ngeureunkeun aliranana, anjeun kedah mencét kombinasi konci Ctrl + C.

Upami anjeun ngalaksanakeun paréntah tanpa pilihan sareng saringan tambahan, anjeun bakal ningali format ieu pikeun nampilkeun pakét diawaskeun:

22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Gagasan [P.], seq 1: 595, ack 1118, meunang 6494, pilihan [nop, nop, TS val 257060077 ecr 697597623], panjang 594

Dimana warna warna disorot:

  • bulao - waktos panampi pakét;
  • jeruk - versi protokol;
  • héjo - alamat pangirim;
  • pelanggaran - alamat panarima;
  • kulawu - inpormasi tambahan ngeunaan tcp;
  • ukuran beureum - pakét (ditampilkeun dina bait).

Sintaksis ieu pangabisa pikeun nunjukkeun dina jandela. "Terminal" tanpa nganggo pilihan tambahan.

Nangkep lalu lintas sareng pilihan -v

Sakumaha dipikanyaho tina tabél, pilihan -v ngamungkinkeun anjeun pikeun nambahan jumlah inpormasi. Hayu urang nyandak conto. Pariksa panganteur anu sami:

sudo tcpdump -v -i ppp0

Hiji conto:

Di dieu anjeun tiasa ningali yén garis ieu némbongan dina kaluaran:

IP (tarik 0x0, ttl 58, id 30675, offset 0, umbul [DF], proto TCP (6), panjangna 52

Dimana warna warna disorot:

  • jeruk - versi protokol;
  • biru - umur protokol;
  • héjo - panjang lapang;
  • ungu - versi pcp;
  • beureum - ukuran pakét.

Ogé dina sintaksis paréntah anjeun tiasa nyerat hiji pilihan -vv atanapi -vvv, anu bakal ningkatkeun jumlah inpormasi anu ditampilkeun dina layar.

Pilihan -w sareng -r

Tabél pilihan disebutkeun kamampuan nyimpen sadaya kaluaran dina file anu kapisah ku anjeun tiasa ningali engké. Pilihan ieu tanggung jawab pikeun ieu. -w. Nganggo cukup gampang, ukur ku paréntah dina paréntah, teras lebetkeun nami file ka hareup kalayan ekstensina ".pcap". Hayu urang ningal conto:

sudo tcpdump -i ppp0 -w file.pcap

Hiji conto:

Punten dicatet: nalika nyerat log kana file, henteu aya téks anu ditingalikeun dina layar "Terminal".

Nalika anjeun hoyong ningali kaluaran kacatet, anjeun kedah nganggo pilihan -r, saatos éta nyerat nami file anu kantos dirékam. Éta dianggo tanpa pilihan sareng saringan anu sanés:

sudo tcpdump -r file.pcap

Hiji conto:

Kadua pilihan ieu mangrupikeun hébat dina kasus dimana anjeun kedah nyimpen jumlah téks anu ageung pikeun parsing anu engké.

Nyaring IP

Tina saringan tabél urang terang yén dst ngamungkinkeun anjeun pikeun nembongkeun dina konsol layar ngan ukur pakét anu katampi ku alamat anu parantos ditulis dina sintaksis paréntah. Ku kituna, gampang pisan pikeun ningali pakét anu ditampi ku komputer. Ku ngalakukeun ieu, tim ngan kedah netepkeun alamat IPna:

sudo tcpdump -i ppp0 ip dst 10.0.6.67

Hiji conto:

Sakumaha anjeun tiasa tingali, jaba dst, kami ogé kadaptar saringan dina tim ip. Dina basa sanés, kami nyarios kana komputer yén nalika milih pakét éta bakal nengetan alamat IP na, sareng henteu kana parameter anu sanésna.

Ku IP, anjeun ogé tiasa nyaring pakét anu kaluar. Urang bakal masihan IP urang deui dina conto. Nyaéta, ayeuna urang bakal ngalacak pakét anu dikirim ti komputer ka alamat anu sanés. Jang ngalampahkeun ieu, ngajalankeun paréntah di handap ieu:

sudo tcpdump -i ppp0 ip src 10.0.6.67

Hiji conto:

Sakumaha anjeun tiasa tingali, dina rumpaka paréntah urang ngarobih saringan dst dina src, ku kituna ngabéjaan mesin milarian pangirim dina IP.

Panenjang HOST

Ku analogi sareng IP dina paréntahna, urang tiasa netepkeun saringan nu boga imahpikeun nyaring pakét sareng inang dipikaresep. Hartina, dina rumpaka, tibatan alamat IP tina pangirim / panampi, anjeun kedah netepkeun hostna. Sigana mah kieu:

sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com

Hiji conto:

Dina gambar anjeun tiasa ningali anu "Terminal" ngan pakét anu dikirim ti IP kami ka host google.com anu ditampilkeun. Sakumaha anjeun tiasa ngartos, tibatan host google, anjeun tiasa ngalebetkeun mana waé anu sanés.

Kayaning sareng saringan IP, sintaksis éta dst tiasa diganti ku srcPikeun ningali bungkusan anu dikirim ka komputer anjeun:

sudo tcpdump -i ppp0 src host google-public-dns-a.google.com

Catetan: saringan host kedahna saatos dst atanapi src, lamun paréntahna bakal ngaleungitkeun kasalahan. Dina hal anu disaring ku IP, sabalikna, dst sareng src aya di payun ip ip.

Nerapkeun sareng sareng atanapi nyaring

Upami anjeun kedah nganggo sababaraha saringan dina hiji paréntah sakaligus, maka anjeun kedah nerapkeun saringan jeung atanapi atanapi (gumantung kana halna). Ku nangtukeun saringan dina sintaksis sareng misahkeunana nganggo operator ieu, anjeun bakal ngajantenkeun padamelan sapertos. Salaku conto, sapertos kieu:

sudo tcpdump -i ppp0 ip dst 95.47.144.254 atanapi ip src 95.47.144.254

Hiji conto:

Paréntah sintaksis nunjukkeun naon anu urang hoyong nunjukkeun "Terminal" sadaya pakét anu dikirim ka alamat 95.47.144.254 sareng pakét anu ditampi ku alamat anu sami. Anjeun oge tiasa ngarobih sababaraha variabel dina ekspresi ieu. Salaku conto, tinimbang IP, netepkeun HOST atanapi langsung ngagentos alamatna sorangan.

Port sareng portrange filter

Filter palabuhan sampurna dina kasus dimana anjeun kedah kéngingkeun inpormasi ngeunaan bungkusan sareng port khusus. Janten, upami anjeun ngan ukur kedah ningali jawaban atanapi patarosan DNS, anjeun kedah netepkeun port 53:

sudo tcpdump -vv -i ppp0 port 53

Hiji conto:

Upami anjeun hoyong ningali pakét http, anjeun kedah lebetkeun port 80:

sudo tcpdump -vv -i ppp0 port 80

Hiji conto:

Diantara anu séjén, nyaéta dimungkinkeun pikeun langsung ngalacak macem-macem palabuhan. Filter diterapkeun kanggo ieu. portrange:

sudo tcpdump portrange 50-80

Sakumaha anjeun tiasa tingali, ditéang ku saringan portrange pilihan pilihan dibutuhkeun. Ngan diatur kisaran.

Panaringan Protocol

Anjeun ogé tiasa nunjukkeun ngan patalimarga anu cocog sareng protokol. Jang ngalampahkeun ieu, paké nami protokol ieu salaku saringan. Hayu urang ningal conto udp:

sudo tcpdump -vvv -i ppp0 udp

Hiji conto:

Sakumaha anjeun tiasa tingali dina gambar, saatos ngalaksanakeun paréntah na "Terminal" ngan pakét sareng protokol anu ditingalikeun udp. Sasuai, anjeun tiasa nyaring ku batur, sapertos, arp:

sudo tcpdump -vvv -i ppp0 arp

atanapi tcp:

sudo tcpdump -vvv -i ppp0 tcp

Saringan net

Operator net ngabantuan nyaring pakét dumasar kana sebutan jaringan. Ngagunakeun éta salaku saderhana - anjeun kedah netepkeun atribut dina sintaksis net, teras lebetkeun alamat jaringan. Ieu conto ngeunaan paréntah sapertos:

sudo tcpdump -i ppp0 net 192.168.1.1

Hiji conto:

Panyaring ukuran pakét

Kami henteu nganggap dua saringan anu langkung narik: kirang jeung leuwih gede. Tina tabel sareng saringan, urang terang yén aranjeunna ngalayanan langkung seueur data langkung lengkep pakét (kirang) atanapi kurang (leuwih gede) ukuran anu ditetepkeun saenggeus nuliskeun atribut.

Anggapna urang ngan ukur rék ngawas hiji pakét anu henteu langkung tebih tanda 50-bit, maka paréntahna katingalina siga kieu:

sudo tcpdump -i ppp0 kurang 50

Hiji conto:

Ayeuna hayu urang ningalikeun "Terminal" pakét anu langkung ageung ti 50 bit:

sudo tcpdump -i ppp0 langkung ageung 50

Hiji conto:

Sakumaha anjeun tiasa tingali, aranjeunna dilarapkeun ku cara anu sami, ngan ukur bédana dina nami saringan.

Kacindekan

Dina ahir tulisan, urang tiasa dicindekkeun yén tim éta tcpdump - Ieu mangrupikeun alat anu saé sareng anjeun tiasa ngalacak mana-mana pakét data anu dikirimkeun kana Internét. Tapi kanggo ieu, éta henteu cekap ngan saukur nuliskeun paréntah sorangan kana "Terminal". Hasil anu dipikahoyong didugikeun ukur upami anjeun nganggo sadaya jinis pilihan sareng saringan, ogé kombinasi maranéhanana.

Pin
Send
Share
Send