Upami anjeun kedah nganalisis atanapi nyegelkeun pakét jaringan dina Linux, langkung saé langkung-leres ngagunakeun utiliti konsol tcpdump. Tapi masalahna aya dina manajemén anu rada pajeulit. Éta sigana waé pikeun pangguna rata-rata anu damel sareng Utiliti henteu pikaresepeun, tapi ieu ukur ningal heula. Tulisan bakal ngajelaskeun kumaha hasil karya tcpdump, sintaksisna anu aya, kumaha ngagunakeunna, sareng seueur conto pamakean anu bakal dipasihkeun.
Tingali ogé: Pitunjuk pikeun nyetel konéksi Internét di Ubuntu, Debian, Server Ubuntu
Pamasangan
Kaseueuran pamekar sistem berbasis Linux kalebet utilitas tcpdump dina daptar anu tos dipasang, tapi upami aya alesan, éta sanés dina distribusi anjeun, anjeun tiasa teras-terasan diunduh sareng masangkeunana "Terminal". Upami OS anjeun dumasar kana Debian, sareng ieu Ubuntu, Linux Mint, Kali Linux sareng anu sanés, anjeun kedah ngajalankeun paréntah ieu:
sudo apt pasang tcpdump
Nalika pasang, anjeun kedah asupkeun kecap akses. Punten dicatet yén nalika mencet, éta henteu ditampilkeun, ogé pikeun mastikeun setelan anjeun kedah ngetik karakter D teras klik Lebetkeun.
Upami anjeun gaduh Red Hat, Fedora atanapi CentOS, maka paréntah instalasi sapertos kieu:
sudo yam pasang tcpdump
Saatos dipasang di utilitas, éta tiasa langsung dianggo. Ieu sareng seueur deui anu bakal dibahas engké dina téks.
Tingali ogé: Pitunjuk Pamasangan PHP di Server Ubuntu
Rumpaka
Kaya naon paréntah séjén, tcpdump ngabogaan sintaksis sorangan. Kéngingkeun anjeunna, anjeun tiasa nyetél sadaya parangkat anu dipikabutuh anu bakal kapayun nalika ngalaksanakeun paréntah na. Rumpaka nyaéta saperti kieu:
pilihan tcpdump-saringan antar muka
Nalika nganggo paréntah, anjeun kedah netepkeun antarmuka pikeun nyukcruk. Saringan sareng pilihan mangrupikeun variabel pilihan, tapi ngawenangkeun kustomisasi langkung fleksibel.
Pilihan
Sanaos teu perlu nunjukkeun pilihan, anjeun tetep kedah daptar anu sayogi. Tabel henteu nunjukkeun sadayana daptarna, tapi ngan anu pang populerna, tapi aranjeunna langkung ti cukup pikeun ngarengsekeun kalolobaan tugas.
| Pilihan | Watesan |
|---|---|
| -A | Ngidinan anjeun nyusun bungkusan sareng pormat ASCII |
| -l | Nambihan fungsi gulung. |
| -i | Saatos lebet lebet, anjeun kedah nambihan antarmuka jaringan anu bakal dipantau. Pikeun ngamimitian ngawaskeun sadaya antar muka, lebetkeun kecap "naon waé" saatos pilihan |
| -c | Ngeureunkeun prosés nyukcruk saatos marios jumlah anu ditangtoskeun tina pakét |
| -w | Ngahasilkeun file téks sareng laporan verifikasi |
| -e | Nunjukeun tingkat konéksi sambungan internét |
| -L | Ditampilkeun ngan ukur protokol anu dituju dina antarmuka jaringan anu ditetepkeun. |
| -C | Nyiptakeun file anu sanés nalika ngarékam bungkusan upami ukuranna langkung ageung batan anu ditangtoskeun |
| -r | Muka file baca anu didamel nganggo pilihan -w |
| -j | Format TimeStamp bakal dipaké pikeun ngarékam pakét |
| -J | Ngidinan anjeun pikeun nempo sadaya format TimeStamp nu sayogi |
| -G | Ngawula nyiptakeun file log. Pilihan ogé butuh nilai samentawis, saatos éta log énggal bakal didamel |
| -v, -vv, -vvv | Gumantung kana jumlah karakter dina pilihan, kaluaran paréntah bakal janten langkung rinci (paningkatan éta langsung sabanding sareng jumlah karakter) |
| -f | Kaluaran nunjukkeun nami domain alamat IP |
| -F | Ngidinan maca inpormasi henteu tina antarmuka jaringan, tapi tina file anu ditangtoskeun |
| -D | Nunjukkeun sadayana antar muka jaringan anu tiasa dianggo. |
| -n | Nonaktivasi tampilan nami domain |
| -Z | Sebutkeun pangguna dina akun anu sadaya file bakal didamel. |
| -K | Analisis Cék Input |
| -q | Ringkesan Pidangkeun |
| -H | Mengesan 802.11s Lulugu |
| -I | Dipaké nalika motret pakét dina modeu monitor |
Sanggeus parantos naliti pilihan, sakedik nurunkeun urang bakal langsung langsung ka aplikasina. Samentawis éta, saringan bakal dianggap.
Saringan
Sakumaha anu dinyatakeun dina awal awal tulisan, anjeun tiasa nambihan saringan kana sintaksis tcpdump. Ayeuna anu pang populerna di antarana bakal dianggap:
| Filter | Watesan |
|---|---|
| nu boga imah | Sebutkeun nami host |
| net | Nunjukkeun subnét IP sareng jaringan |
| ip | Sebutkeun alamat protokol |
| src | Nampilkeun pakét anu dikirim tina alamat anu ditangtukeun |
| dst | Nampilkeun pakét anu ditampi ku alamat anu ditangtukeun |
| arp, udp, tcp | Nyaring ku salah sahiji protokol |
| palabuhan | Mintonkeun inpormasi anu aya hubunganana sareng port khusus |
| jeung, atanapi | Ngagabungkeun sababaraha saringan dina paréntah. |
| kirang langkung ageung | Paket kaluaran langkung leutik atanapi langkung ageung tibatan ukuran anu ditangtoskeun |
Sadaya saringan di luhur tiasa digabungkeun sareng anu sanés, janten dina ngaluarkeun paréntah anjeun ngan ukur tiasa ningali inpormasi anu anjeun hoyong tingali. Pikeun ngartos langkung rinci kana panggunaan saringan di luhur, éta perlu masihan conto.
Tingali ogé: Komando Dipaké sering di Terminal Linux
Conto Dianggo
Pilihan sintaksis anu sering dianggo pikeun paréntah tcpdump ayeuna bakal ditingalikeun. Sadaya teu tiasa didaptarkeun, sabab tiasa aya sajumlah variasi-na.
Tingali daptar hubungan
Disarankeun yén unggal pangguna mimiti pariksa daptar sadaya tina jaringan-jaringan na anu tiasa dilacak. Tina tabel di luhur kami terang yén pikeun ieu anjeun kedah nganggo pilihan -D, janten dina terminal, ngajalankeun paréntah di handap ieu:
sudo tcpdump -D
Hiji conto:
Sakumaha anjeun tiasa tingali, conto ngagaduhan dalapan hubungan anu tiasa ditingali nganggo paréntah tcpdump. Tulisan bakal masihan conto ppp0Anjeun tiasa nganggo anu sanés.
Nangkep lalu lintas normal
Upami anjeun kedah ngalacak hiji antarmuka jaringan, anjeun tiasa ngalakukeun ieu nganggo pilihan éta -i. Ulah hilap nuliskeun nami panganteur saatos ngetik. Ieu conto ngeunaan paréntah sapertos:
sudo tcpdump -i ppp0
Perhatikeun: sateuacan paréntah anjeun kedah ngalebetkeun "sudo", sabab meryogikeun hak superuser.
Hiji conto:
Catetan: saatos pencét Lebetkeun dina "Terminal", pakét anu dicegat bakal ditingalikeun terus. Pikeun ngeureunkeun aliranana, anjeun kedah mencét kombinasi konci Ctrl + C.
Upami anjeun ngalaksanakeun paréntah tanpa pilihan sareng saringan tambahan, anjeun bakal ningali format ieu pikeun nampilkeun pakét diawaskeun:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Gagasan [P.], seq 1: 595, ack 1118, meunang 6494, pilihan [nop, nop, TS val 257060077 ecr 697597623], panjang 594
Dimana warna warna disorot:
- bulao - waktos panampi pakét;
- jeruk - versi protokol;
- héjo - alamat pangirim;
- pelanggaran - alamat panarima;
- kulawu - inpormasi tambahan ngeunaan tcp;
- ukuran beureum - pakét (ditampilkeun dina bait).
Sintaksis ieu pangabisa pikeun nunjukkeun dina jandela. "Terminal" tanpa nganggo pilihan tambahan.
Nangkep lalu lintas sareng pilihan -v
Sakumaha dipikanyaho tina tabél, pilihan -v ngamungkinkeun anjeun pikeun nambahan jumlah inpormasi. Hayu urang nyandak conto. Pariksa panganteur anu sami:
sudo tcpdump -v -i ppp0
Hiji conto:
Di dieu anjeun tiasa ningali yén garis ieu némbongan dina kaluaran:
IP (tarik 0x0, ttl 58, id 30675, offset 0, umbul [DF], proto TCP (6), panjangna 52
Dimana warna warna disorot:
- jeruk - versi protokol;
- biru - umur protokol;
- héjo - panjang lapang;
- ungu - versi pcp;
- beureum - ukuran pakét.
Ogé dina sintaksis paréntah anjeun tiasa nyerat hiji pilihan -vv atanapi -vvv, anu bakal ningkatkeun jumlah inpormasi anu ditampilkeun dina layar.
Pilihan -w sareng -r
Tabél pilihan disebutkeun kamampuan nyimpen sadaya kaluaran dina file anu kapisah ku anjeun tiasa ningali engké. Pilihan ieu tanggung jawab pikeun ieu. -w. Nganggo cukup gampang, ukur ku paréntah dina paréntah, teras lebetkeun nami file ka hareup kalayan ekstensina ".pcap". Hayu urang ningal conto:
sudo tcpdump -i ppp0 -w file.pcap
Hiji conto:
Punten dicatet: nalika nyerat log kana file, henteu aya téks anu ditingalikeun dina layar "Terminal".
Nalika anjeun hoyong ningali kaluaran kacatet, anjeun kedah nganggo pilihan -r, saatos éta nyerat nami file anu kantos dirékam. Éta dianggo tanpa pilihan sareng saringan anu sanés:
sudo tcpdump -r file.pcap
Hiji conto:
Kadua pilihan ieu mangrupikeun hébat dina kasus dimana anjeun kedah nyimpen jumlah téks anu ageung pikeun parsing anu engké.
Nyaring IP
Tina saringan tabél urang terang yén dst ngamungkinkeun anjeun pikeun nembongkeun dina konsol layar ngan ukur pakét anu katampi ku alamat anu parantos ditulis dina sintaksis paréntah. Ku kituna, gampang pisan pikeun ningali pakét anu ditampi ku komputer. Ku ngalakukeun ieu, tim ngan kedah netepkeun alamat IPna:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Hiji conto:
Sakumaha anjeun tiasa tingali, jaba dst, kami ogé kadaptar saringan dina tim ip. Dina basa sanés, kami nyarios kana komputer yén nalika milih pakét éta bakal nengetan alamat IP na, sareng henteu kana parameter anu sanésna.
Ku IP, anjeun ogé tiasa nyaring pakét anu kaluar. Urang bakal masihan IP urang deui dina conto. Nyaéta, ayeuna urang bakal ngalacak pakét anu dikirim ti komputer ka alamat anu sanés. Jang ngalampahkeun ieu, ngajalankeun paréntah di handap ieu:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Hiji conto:
Sakumaha anjeun tiasa tingali, dina rumpaka paréntah urang ngarobih saringan dst dina src, ku kituna ngabéjaan mesin milarian pangirim dina IP.
Panenjang HOST
Ku analogi sareng IP dina paréntahna, urang tiasa netepkeun saringan nu boga imahpikeun nyaring pakét sareng inang dipikaresep. Hartina, dina rumpaka, tibatan alamat IP tina pangirim / panampi, anjeun kedah netepkeun hostna. Sigana mah kieu:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Hiji conto:
Dina gambar anjeun tiasa ningali anu "Terminal" ngan pakét anu dikirim ti IP kami ka host google.com anu ditampilkeun. Sakumaha anjeun tiasa ngartos, tibatan host google, anjeun tiasa ngalebetkeun mana waé anu sanés.
Kayaning sareng saringan IP, sintaksis éta dst tiasa diganti ku srcPikeun ningali bungkusan anu dikirim ka komputer anjeun:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Catetan: saringan host kedahna saatos dst atanapi src, lamun paréntahna bakal ngaleungitkeun kasalahan. Dina hal anu disaring ku IP, sabalikna, dst sareng src aya di payun ip ip.
Nerapkeun sareng sareng atanapi nyaring
Upami anjeun kedah nganggo sababaraha saringan dina hiji paréntah sakaligus, maka anjeun kedah nerapkeun saringan jeung atanapi atanapi (gumantung kana halna). Ku nangtukeun saringan dina sintaksis sareng misahkeunana nganggo operator ieu, anjeun bakal ngajantenkeun padamelan sapertos. Salaku conto, sapertos kieu:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 atanapi ip src 95.47.144.254
Hiji conto:
Paréntah sintaksis nunjukkeun naon anu urang hoyong nunjukkeun "Terminal" sadaya pakét anu dikirim ka alamat 95.47.144.254 sareng pakét anu ditampi ku alamat anu sami. Anjeun oge tiasa ngarobih sababaraha variabel dina ekspresi ieu. Salaku conto, tinimbang IP, netepkeun HOST atanapi langsung ngagentos alamatna sorangan.
Port sareng portrange filter
Filter palabuhan sampurna dina kasus dimana anjeun kedah kéngingkeun inpormasi ngeunaan bungkusan sareng port khusus. Janten, upami anjeun ngan ukur kedah ningali jawaban atanapi patarosan DNS, anjeun kedah netepkeun port 53:
sudo tcpdump -vv -i ppp0 port 53
Hiji conto:
Upami anjeun hoyong ningali pakét http, anjeun kedah lebetkeun port 80:
sudo tcpdump -vv -i ppp0 port 80
Hiji conto:
Diantara anu séjén, nyaéta dimungkinkeun pikeun langsung ngalacak macem-macem palabuhan. Filter diterapkeun kanggo ieu. portrange:
sudo tcpdump portrange 50-80
Sakumaha anjeun tiasa tingali, ditéang ku saringan portrange pilihan pilihan dibutuhkeun. Ngan diatur kisaran.
Panaringan Protocol
Anjeun ogé tiasa nunjukkeun ngan patalimarga anu cocog sareng protokol. Jang ngalampahkeun ieu, paké nami protokol ieu salaku saringan. Hayu urang ningal conto udp:
sudo tcpdump -vvv -i ppp0 udp
Hiji conto:
Sakumaha anjeun tiasa tingali dina gambar, saatos ngalaksanakeun paréntah na "Terminal" ngan pakét sareng protokol anu ditingalikeun udp. Sasuai, anjeun tiasa nyaring ku batur, sapertos, arp:
sudo tcpdump -vvv -i ppp0 arp
atanapi tcp:
sudo tcpdump -vvv -i ppp0 tcp
Saringan net
Operator net ngabantuan nyaring pakét dumasar kana sebutan jaringan. Ngagunakeun éta salaku saderhana - anjeun kedah netepkeun atribut dina sintaksis net, teras lebetkeun alamat jaringan. Ieu conto ngeunaan paréntah sapertos:
sudo tcpdump -i ppp0 net 192.168.1.1
Hiji conto:
Panyaring ukuran pakét
Kami henteu nganggap dua saringan anu langkung narik: kirang jeung leuwih gede. Tina tabel sareng saringan, urang terang yén aranjeunna ngalayanan langkung seueur data langkung lengkep pakét (kirang) atanapi kurang (leuwih gede) ukuran anu ditetepkeun saenggeus nuliskeun atribut.
Anggapna urang ngan ukur rék ngawas hiji pakét anu henteu langkung tebih tanda 50-bit, maka paréntahna katingalina siga kieu:
sudo tcpdump -i ppp0 kurang 50
Hiji conto:
Ayeuna hayu urang ningalikeun "Terminal" pakét anu langkung ageung ti 50 bit:
sudo tcpdump -i ppp0 langkung ageung 50
Hiji conto:
Sakumaha anjeun tiasa tingali, aranjeunna dilarapkeun ku cara anu sami, ngan ukur bédana dina nami saringan.
Kacindekan
Dina ahir tulisan, urang tiasa dicindekkeun yén tim éta tcpdump - Ieu mangrupikeun alat anu saé sareng anjeun tiasa ngalacak mana-mana pakét data anu dikirimkeun kana Internét. Tapi kanggo ieu, éta henteu cekap ngan saukur nuliskeun paréntah sorangan kana "Terminal". Hasil anu dipikahoyong didugikeun ukur upami anjeun nganggo sadaya jinis pilihan sareng saringan, ogé kombinasi maranéhanana.
