Jekk ikollok bżonn tanalizza jew tinterċettja pakketti tan-netwerk fil-Linux, huwa aħjar li tuża l-utilità tal-console għal dan. tcpdump. Iżda l-problema tqum fil-ġestjoni pjuttost ikkumplikata tagħha. Jidher li huwa inkonvenjenti għal utent ordinarju li jaħdem ma 'l-utilità, iżda din hija biss ma' l-ewwel daqqa t'għajn. L-artiklu jispjega kif tcpdump huwa organizzat, liema sintassi għandu, kif jużah, u se jingħataw bosta eżempji ta 'l-użu tiegħu.
Ara wkoll: Tutorials għall-istabbiliment ta 'konnessjoni tal-Internet f'Ubuntu, Debian, Ubuntu Server
Installazzjoni
Ħafna mill-iżviluppaturi ta ’sistemi operattivi bbażati fuq il-Linux jinkludu l-utilità tcpdump fil-lista ta’ dawk installati minn qabel, imma jekk għal xi raġuni mhix fid-distribuzzjoni tiegħek, tista ’dejjem tniżżilha u tinstallahom permezz "Terminal". Jekk l-OS tiegħek hija bbażata fuq Debian, u dan huwa Ubuntu, Linux Mint, Kali Linux u simili, ikollok bżonn li tmexxi dan il-kmand:
sudo apt tinstalla tcpdump
Meta tinstalla għandek bżonn tidħol password. Jekk jogħġbok innota li meta tittajpja mhijiex murija, ukoll biex tikkonferma l-installazzjoni, trid tidħol il-karattru "D" u agħfas Daħħal.
Jekk għandek Red Hat, Fedora jew CentOS, il-kmand tal-installazzjoni jidher bħal dan:
sudo yam tinstalla tcpdump
Wara li l-utilità tkun installata, tista 'tużaha minnufih. Dan u ħafna iktar se jiġu diskussi aktar tard fit-test.
Ara wkoll: Gwida għall-Installazzjoni PHP għal Ubuntu Server
Sintassi
Bħal kull kmand ieħor, tcpdump għandu s-sintassi tiegħu stess. Jafu minnu, tista 'tissettja l-parametri kollha meħtieġa li għandhom jiġu kkunsidrati waqt l-eżekuzzjoni tal-kmand. Is-sintassi hija:
tcpdump options -i filtri tal-interface
Meta tuża l-kmand, trid tispeċifika l-interface biex tintraċċa. Il-filtri u l-għażliet mhumiex varjabbli mandatorji, iżda jippermettu konfigurazzjoni aktar flessibbli.
Għażliet
Għalkemm mhuwiex neċessarju li tiġi speċifikata l-għażla, xorta huwa meħtieġ li jiġu elenkati dawk disponibbli. It-tabella ma turix il-lista kollha tagħhom, iżda biss dawk l-aktar popolari, iżda huma iktar minn biżżejjed biex isolvu ħafna mill-kompiti.
| Għażla | Definizzjoni |
|---|---|
| -A | Jippermettilek tissortja l-pakketti fil-format ASCII |
| -l | Iżżid funzjoni scroll. |
| -i | Wara d-dħul trid tispeċifika l-interface tan-netwerk li se jkun immonitorjat. Biex tibda ssegwi l-interfaces kollha, ikteb il-kelma "kwalunkwe" wara l-għażla. |
| -c | Tlesti l-proċess ta ’traċċar wara li tiċċekkja n-numru speċifikat ta’ pakketti. |
| -w | Jiġġenera fajl ta 'test b'rapport ta' verifika. |
| -e | Turi l-livell ta 'konnessjoni tal-internet tal-pakkett tad-dejta. |
| -L | Turi biss dawk il-protokolli li huma appoġġati mill-interface tan-netwerk speċifikat. |
| -C | Toħloq fajl ieħor waqt li tikteb pakkett jekk id-daqs tiegħu jkun ikbar minn dak speċifikat. |
| -r | Tiftaħ fajl għall-qari li nħoloq bl-opzjoni -w. |
| -j | Il-format TimeStamp ser jintuża għar-reġistrazzjoni tal-pakketti. |
| -J | Jippermettilek li tara l-formati kollha disponibbli TimeStamp |
| -G | Użat biex jinħoloq fajl bir-zkuk. L-opzjoni teħtieġ ukoll valur temporanju, wara li jinħoloq zokk ġdid |
| -v, -vv, -vvv | Jiddependi fuq in-numru ta 'karattri fl-għażla, l-output tal-kmand isir aktar dettaljat (żieda hija direttament proporzjonali għan-numru ta' karattri) |
| -f | Ir-riżultat juri l-isem tad-dominju tal-indirizz IP |
| -F | Jippermettilek li taqra informazzjoni mhux mill-interface tan-netwerk, iżda mill-fajl speċifikat |
| -D | Juri l-interfaces kollha tan-netwerk li jistgħu jintużaw. |
| -n | Itfi l-wiri ta 'ismijiet ta' dominju |
| -Z | Jispeċifika l-utent li taħtu se jinħolqu l-fajls kollha. |
| -K | Aqbeż l-analiżi tal-kontroll |
| -q | Dimostrazzjoni ta 'informazzjoni qasira |
| -H | Jinduna l-intestaturi 802.11s |
| -I | Użat meta jinqabad il-pakketti fil-modalità monitor. |
Wara li eżaminajna l-għażliet, hawn taħt ngħaddu direttament għall-applikazzjonijiet tagħhom. Sadanittant, se jiġu kkunsidrati l-filtri.
Filtri
Kif imsemmi fil-bidu nett tal-artiklu, tista 'żżid filtri mas-sintassi tcpdump. Issa l-aktar popolari minnhom se jiġu kkunsidrati:
| Iffiltra | Definizzjoni |
|---|---|
| ospitanti | Jispeċifika l-isem ospitanti. |
| xibka | Jispeċifika s-subnet u n-netwerk IP |
| ip | Jispeċifika l-indirizz tal-protokoll |
| src | Turi l-pakketti li ntbagħtu mill-indirizz speċifikat |
| dst | Turi l-pakketti li kienu riċevuti bl-indirizz speċifikat. |
| arp, udp, TCP | Iffiltrar minn wieħed mill-protokolli |
| port | Turi informazzjoni relatata ma 'port speċifiku. |
| u, jew | Użat biex jgħaqqad filtri multipli f'kmand. |
| inqas, akbar | Pakketti tal-ħruġ iżgħar jew ikbar mid-daqs speċifikat |
Il-filtri kollha ta 'hawn fuq jistgħu jiġu kkombinati ma' xulxin, sabiex fil-ħruġ ta 'kmand inti tosserva biss l-informazzjoni li trid tara. Biex tifhem f'aktar dettall l-użu tal-filtri ta 'hawn fuq, ta' min jagħti eżempji.
Ara wkoll: Kmandijiet Użati Frekwentement fit-Terminal tal-Linux
Eżempji ta 'użu
Għażliet ta 'sintassi tcpdump użati ta' spiss issa se jiġu elenkati. Kollha kemm huma ma jistgħux jiġu elenkati, peress li l-varjazzjonijiet tagħhom jistgħu jkunu infiniti.
Ara l-lista tal-interface
Huwa rrakkomandat li kull utent inizjalment jiċċekkja l-lista tal-interfaces tan-netwerk kollha tiegħu li jistgħu jiġu ntraċċati. Mit-tabella t'hawn fuq nafu li għal dan għandek bżonn tuża l-għażla -D, għalhekk fit-terminal run il-kmand li ġej:
sudo tcpdump -D
Eżempju:
Kif tistgħu taraw, hemm tmien interfejsis fl-eżempju li jistgħu jiġu kkunsidrati bl-użu tal-kmand tcpdump. L-artikolu se jipprovdi eżempji ta ' ppp0, tista 'tuża kwalunkwe ieħor.
Qbid normali tat-traffiku
Jekk ikollok bżonn li ssegwi interface tan-netwerk wieħed, tista 'tagħmel dan bl-għażla -i. Tinsiex tidħol l-isem ta ’l-interface wara li tiddaħħal. Hawn hu eżempju ta ’eżekuzzjoni ta’ dan il-kmand:
sudo tcpdump -i ppp0
Jekk jogħġbok innota: trid tidħol "sudo" qabel il-kmand innifsu, peress li teħtieġ id-dritt tas-superuser.
Eżempju:
Nota: wara li tagħfas Enter fit- "Terminal", il-pakketti interċettati jintwerew kontinwament. Biex twaqqaf il-fluss tagħhom, għandek bżonn li tagħfas il-kombinazzjoni taċ-ċwievet Ctrl + C.
Jekk tmexxi l-kmand mingħajr għażliet u filtri addizzjonali, se tara l-format li ġej għall-wiri ta 'pakketti ssorveljati:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Bnadar [P.], seq 1: 595, ack 1118, irbaħ 6494, opzjonijiet [nop, nop, TS val 257060077 ecr 697597623], tul 594
Fejn il-kulur huwa enfasizzat:
- blu - il-ħin tal-wasla tal-pakkett;
- verżjoni tal-protokoll oranġjo;
- aħdar - indirizz tal-mittent;
- vjola - l-indirizz tar-riċevitur;
- griż - informazzjoni addizzjonali dwar TCP;
- daqs tal - pakkett aħmar (muri f 'bytes).
Dan is-sintassi għandu l-abbiltà li joħroġ fit-tieqa "Terminal" mingħajr l-użu ta ’għażliet addizzjonali.
Qbid it-traffiku bl-opzjoni -v
Kif inhu magħruf mit-tabella, l-għażla -v jippermettilek li żżid l-ammont ta ’informazzjoni. Ejjew nikkunsidraw eżempju. Iċċekkja l-istess interface:
sudo tcpdump -v -i ppp0
Eżempju:
Hawnhekk tista 'tara li l-linja li ġejja tidher fl-output:
IP (tos 0x0, ttl 58, id 30675, offset 0, bnadar [DF], proto TCP (6), tul 52
Fejn il-kulur huwa enfasizzat:
- verżjoni tal-protokoll oranġjo;
- blu - il-ħajja tal-protokoll;
- aħdar - it-tul tal-header header;
- vjola - verżjoni tal-pakkett tcp;
- daqs tal - pakkett aħmar.
Wkoll fis-sintassi tal-kmand tista 'tikteb l-għażla -vv jew -vvv, li se żżid aktar l-ammont ta ’informazzjoni murija fuq l-iskrin.
L-għażla -w u -r
It-tabella tal-għażliet semmiet il-possibbiltà li d-dejta tal-ħruġ kollha tiġi ffrankata f'fajl separat sabiex tkun tista 'tidher iktar tard L-għażla hija responsabbli għal dan. -w. Huwa pjuttost sempliċi biex tużah, daħħalha fil-kmand u mbagħad ikteb l-isem tal-fajl futur bl-estensjoni ".pcap". Ikkunsidra l-eżempju kollu:
sudo tcpdump -i ppp0 -w file.pcap
Eżempju:
Jekk jogħġbok innota: waqt li tikteb zkuk f'fajl, l-ebda test ma jidher fuq l-iskrin "Terminal".
Meta trid tara l-output irreġistrat, trid tuża l-għażla -rsegwit bl-isem tal-fajl irreġistrat qabel. Huwa applikat mingħajr għażliet u filtri oħra:
sudo tcpdump -r file.pcap
Eżempju:
Iż-żewġ għażliet huma perfetti f'każijiet fejn ikollok bżonn li tiffranka ammonti kbar ta 'test għal analiżi sussegwenti.
IP filtrazzjoni
Mit-tabella tal-filtri, nafu li dst jippermettilek li turi fuq l-iskrin tal-console dawk il-pakketti biss li kienu riċevuti bl-indirizz speċifikat fis-sintassi tal-kmand. Għalhekk, huwa konvenjenti ħafna li tara l-pakketti rċevuti mill-kompjuter tiegħek. Biex tagħmel dan, it-tim biss jeħtieġ li jispeċifika l-indirizz IP tiegħek:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Eżempju:
Kif tistgħu taraw, minbarra dst, fit-tim, irreġistrajna wkoll il-filtru ip. Fi kliem ieħor, għidna lill-kompjuter li meta tagħżel il-pakketti, kien jagħti attenzjoni lill-indirizz IP tagħhom, u mhux lil parametri oħra.
Permezz ta 'IP, tista' tiffiltra u tibgħat pakketti. Fl-eżempju nagħtu l-IP tagħna mill-ġdid. Jiġifieri, issa se nsegwu liema pakketti jintbagħtu mill-kompjuter tagħna lejn indirizzi oħra. Biex tagħmel dan, imxi l-kmand li ġej:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Eżempju:
Kif tistgħu taraw, biddilt il-filtru fis-sintassi tal-kmand. dst fuq src, u b'hekk tgħarraf lill-magna biex tfittex lil min jibgħat permezz ta 'IP.
HOST filtrazzjoni
B'analoġija mal-IP fit-tim, nistgħu nispeċifikaw filtru ospitantibiex tnaqqas il-pakketti bil-ospitanti ta ’interess. Jiġifieri, fis-sintassi, minflok l-indirizz IP tal-mittent / riċevitur, ser ikollok bżonn li tispeċifika l-host tiegħu. Jidher hekk:
sudo tcpdump -i ppp0 dst ospitanti google-public-dns-a.google.com
Eżempju:
Fuq l-istampa tista 'tara dak f' "Terminal" Dawk il-pakketti biss li ntbagħtu mill-IP tagħna lil google.com host huma murija. Kif tistgħu taraw, minflok google host, tista 'tidħol kwalunkwe oħra.
Bħal filtrazzjoni IP, is-sintassi hija: dst jistgħu jiġu sostitwiti b ' srcBiex tara l-pakketti li jintbagħtu lill-kompjuter tiegħek:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Nota: il-host filter għandu jkun wara dst jew src, inkella l-kmand jiġġenera żball. Fil-każ ta 'filtrazzjoni IP, għall-kuntrarju, dst u src huma quddiem il-filtru ip.
Iffiltra u u jew
Jekk għandek bżonn tuża diversi filtri f'daqqa f'kmand wieħed, allura għandek bżonn tapplika filtru. u jew jew (jiddependi mill-każ). Billi tispeċifika l-filtri fis-sintassi u tisseparahom b'dawn id-dikjarazzjonijiet, inti “tagħmel” taħdem bħala waħda. F'eżempju, tidher hekk:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 jew ip src 95.47.144.254
Eżempju:
Mis-sintassi tal-kmand tista ’tara li rridu nuru "Terminal" il-pakketti kollha li ntbagħtu fl-indirizz 95.47.144.254 u l-pakketti rċevuti bl-istess indirizz. Tista 'wkoll tibdel xi varjabbli f'din l-espressjoni. Pereżempju, minflok IP, speċifika l-HOST jew ibdel direttament l-indirizzi nfushom.
Iffiltra l-port u tpinġi
Iffiltra port perfett għal meta jkollok bżonn tikseb informazzjoni dwar pakketti b’port speċifiku. Għalhekk, jekk għandek bżonn tara biss tweġibiet jew mistoqsijiet DNS, għandek tispeċifika l-port 53:
sudo tcpdump -vv -i ppp0 port 53
Eżempju:
Jekk trid tara pakketti http, għandek tidħol fil-port 80:
sudo tcpdump -vv -i ppp0 port 80
Eżempju:
Fost affarijiet oħra, huwa possibbli li tiġi segwita immedjatament il-firxa tal-portijiet. Biex tagħmel dan, applika l-filtru juru:
sudo tcpdump juru 50-80
Kif tistgħu taraw, flimkien mal-filtru juru Mhuwiex meħtieġ li jiġu speċifikati għażliet addizzjonali. Biss issettja l-firxa.
Iffiltrar tal-Protokoll
Tista 'wkoll turi biss it-traffiku li jikkorrispondi għal kwalunkwe protokoll. Biex tagħmel dan, uża l-isem ta 'dan il-protokoll bħala filtru. Ejja nħarsu lejn eżempju udp:
sudo tcpdump -vvv -i ppp0 udp
Eżempju:
Kif tistgħu taraw fl - immaġini, wara li teżegwixxi l - kmand f '. T "Terminal" intwerew biss pakketti bil-protokoll udp. Għaldaqstant, tista ’tiffiltra minn oħrajn, per eżempju, arp:
sudo tcpdump -vvv -i ppp0 arp
jew TCP:
sudo tcpdump -vvv -i ppp0 TCP
Iffiltra xibka
Operatur xibka jgħin biex jiġu ffiltrati pakketti bbażati fuq in-nomina tan-netwerk tagħhom. Huwa faċli biex tużah daqs il-kumplament - trid tispeċifika l-attribut fis-sintassi xibka, imbagħad ikteb l-indirizz tan-netwerk. Hawn hu eżempju ta 'kmand bħal dan:
sudo tcpdump -i ppp0 net 192.168.1.1
Eżempju:
Iffiltra skond id-daqs tal-pakkett
Aħna ma qisniex żewġ filtri aktar interessanti: inqas u ikbar. Mit-tabella bil-filtri, aħna nafu li huma jservu biex jipproduċu aktar pakketti tad-data (inqas) jew inqas (ikbar) id-daqs speċifikat wara li jiddaħħal l-attribwit.
Ejja ngħidu li rridu nissorveljaw biss pakketti li ma jaqbżux il-50 bit, allura l-kmand se jidher bħal dan:
sudo tcpdump -i ppp0 inqas 50
Eżempju:
Issa ejja nuru fil "Terminal" pakketti akbar minn 50 bits:
sudo tcpdump -i ppp0 akbar 50
Eżempju:
Kif tistgħu taraw, huma wżati b'mod ugwali, l-unika differenza hija fl-isem tal-filtru.
Konklużjoni
Fl-aħħar tal-artikolu nistgħu nikkonkludu li t-tim tcpdump - Din hija għodda kbira li biha tista 'ssegwi kwalunkwe pakkett ta' dejta trasmess fuq l-Internet. Iżda għal dan mhux biżżejjed biss li tidħol fil-kmand innifsu fih "Terminal". Biex jinkiseb ir-riżultat mixtieq tinkiseb biss jekk tuża t-tipi kollha ta 'għażliet u filtri, kif ukoll il-kombinazzjonijiet tagħhom.
