As jy netwerkpakkette in Linux moet analiseer of onderskep, is dit die beste om die konsole nut hiervoor te gebruik. tcpdump. Maar die probleem ontstaan in sy taamlik ingewikkelde bestuur. Dit sal ongemaklik wees vir 'n gewone gebruiker om met die program te werk, maar dit is eers met die eerste oogopslag. Die artikel sal verduidelik hoe tcpdump georganiseer word, watter sintaksis dit het, hoe om dit te gebruik, en talle voorbeelde van die gebruik daarvan sal gegee word.
Sien ook: Tutoriale vir die opstel van 'n internetverbinding in Ubuntu, Debian, Ubuntu Server
installasie
Die meeste ontwikkelaars van Linux-gebaseerde bedryfstelsels sluit die tcpdump-program in die lys van vooraf geïnstalleerde een in, maar as dit vir een of ander rede nie in u verspreiding is nie, kan u dit altyd aflaai en installeer via "Terminal". As u bedryfstelsel gebaseer is op Debian, en dit is Ubuntu, Linux Mint, Kali Linux en dies meer, moet u hierdie opdrag uitvoer:
sudo apt tcpdump installeer
By die installering moet u 'n wagwoord invoer. Let asseblief daarop dat wanneer die tik nie vertoon word nie, ook die installasie bevestig moet word, moet die karakter ingevoer word "D" en druk Tik.
As jy Red Hat, Fedora of CentOS het, sal die installasie opdrag so lyk:
sudo yam installeer tcpdump
Nadat die program geïnstalleer is, kan jy dit dadelik gebruik. Hierdie en nog baie meer sal later in die teks bespreek word.
Sien ook: PHP Installasiegids vir Ubuntu Server
sintaksis
Soos enige ander opdrag, het tcpdump sy eie sintaksis. As jy hom ken, kan jy al die nodige parameters in berekening bring wat tydens die uitvoering van die bevel in ag geneem sal word. Die sintaksis is:
tcpdump opsies -in koppelvlak filters
Wanneer u die opdrag gebruik, moet u die koppelvlak spesifiseer om te kan opspoor. Filters en opsies is nie verpligtend veranderlikes nie, maar dit maak voorsiening vir meer buigsame konfigurasie.
opsies
Alhoewel dit nie nodig is om die opsie te spesifiseer nie, is dit steeds nodig om die beskikbare te lys. Die tabel wys nie hul volledige lys nie, maar net die gewildste, maar hulle is meer as genoeg om die meeste take op te los.
| opsie | definisie |
|---|---|
| -A | Laat jou toe om pakkette in ASCII-formaat te sorteer |
| -l | Voeg 'n rolfunksie by. |
| -i | Nadat u ingevoer het, moet u die netwerkkoppelvlak spesifiseer wat gemoniteer sal word. Om al die koppelvlakke op te spoor, tik die woord "enige" na die opsie. |
| -c | Voltooi die opsporingsproses nadat u die gespesifiseerde aantal pakkette nagegaan het. |
| w | Genereer 'n tekslêer met 'n verifikasieverslag. |
| -e | Toon die internet konneksie vlak van die datapakket. |
| -L | Wys net die protokolle wat deur die gespesifiseerde netwerkkoppelvlak ondersteun word. |
| -C | Skep 'n ander lêer terwyl jy 'n pakket skryf as die grootte groter is as die gespesifiseerde een. |
| r | Maak 'n lêer oop vir lees wat geskep is met die -w opsie. |
| -J | TimeStamp formaat sal gebruik word vir die opneem van pakkette. |
| -J | Laat jou toe om alle beskikbare formate TimeStamp te sien |
| G | Gebruik om 'n lêer met logs te skep. Die opsie vereis ook 'n tydelike waarde, waarna 'n nuwe log geskep sal word |
| -v, -vv, -vvv | Afhangende van die aantal karakters in die opsie, sal die opdrag uitset meer gedetailleer word (die toename is direk eweredig aan die aantal karakters) |
| f | Die uitset wys die domeinnaam van die IP-adres |
| -F | Laat jou toe om inligting nie vanaf die netwerkkoppelvlak te lees nie, maar van die gespesifiseerde lêer |
| -D | Demonstreer alle netwerkvlakke wat gebruik kan word. |
| -n | Deaktiveer die vertoning van domeinname |
| -Z | Spesifiseer die gebruiker onder watter rekening alle lêers geskep sal word. |
| -K | Slaan checksum analise oor |
| -q | Demonstrasie van kort inligting |
| -H | Ontdek 802.11-opskrifte |
| -Ek | Gebruik wanneer pakkies in monitormodus vasgelê word. |
Nadat ons die opsies nagegaan het, word ons direk na hul aansoeke gekyk. Intussen sal filters oorweeg word.
filters
Soos aan die begin van die artikel genoem, kan u filters by die tcpdump-sintaks voeg. Nou sal die gewildste van hulle oorweeg word:
| filter | definisie |
|---|---|
| gasheer | Spesifiseer die gasheernaam. |
| netto | Spesifiseer die IP-subnet en netwerk |
| IP | Spesifiseer die protokol adres |
| src | Wys die pakkies wat van die gespesifiseerde adres gestuur is |
| dst | Wys die pakkies wat deur die gespesifiseerde adres ontvang is. |
| arp, udp, tcp | Filtrering deur een van die protokolle |
| hawe | Gee inligting wat verband hou met 'n spesifieke poort. |
| en, of | Gebruik verskeie filters in 'n opdrag te kombineer. |
| minder, groter | Uitgawe pakkette kleiner of groter as die gespesifiseerde grootte |
Al die bogenoemde filters kan met mekaar gekombineer word, dus as u 'n opdrag uitreik, sien u slegs die inligting wat u wil sien. Om die gebruik van bogenoemde filters in meer detail te verstaan, is dit die moeite werd om voorbeelde te gee.
Sien ook: Gereelde gebruik van opdragte in Linux Terminal
Voorbeelde van gebruik
Dikwels gebruik tcpdump syntax opsies sal nou gelys word. Almal kan nie gelys word nie, aangesien hul variasies oneindig kan wees.
Bekyk koppelvlaklys
Dit word aanbeveel dat elke gebruiker aanvanklik die lys van al sy netwerk interfaces wat opgespoor kan word, nagaan. Uit die tabel hierbo weet ons dat u hiervoor die opsie moet gebruik -D, dus in die terminale hardloop die volgende opdrag:
sudo tcpdump -D
byvoorbeeld:
Soos u kan sien, is daar agt interfaces in die voorbeeld wat met die tcpdump-opdrag besigtig kan word. Die artikel sal voorbeelde van ppp0, jy kan enige ander gebruik.
Normale verkeersopname
As jy 'n enkele netwerk koppelvlak moet opspoor, kan jy dit met die opsie doen -i. Moenie vergeet om die koppelvlaknaam in te voer nadat jy dit ingevoer het nie. Hier is 'n voorbeeld van die uitvoering van so 'n bevel:
sudo tcpdump -i ppp0
Let wel: jy moet "sudo" voor die opdrag self invoer, aangesien dit die supergebruiker se reg vereis.
byvoorbeeld:
Nota: nadat u Enter in die "Terminal" ingedruk het, sal die onderskepte pakkies voortdurend vertoon word. Om hul vloei te stop, moet u die sleutel kombinasie Ctrl + C. druk.
As u die opdrag sonder addisionele opsies en filters uitvoer, sal u die volgende formaat sien om gepatenteerde pakkies te vertoon:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Vlaggen [P.], Seq 1: 595, Akk 1118, Win 6494, Opsies [Nee, Nee, TS val 257060077 ecr 697597623], lengte 594
Waar kleur uitgelig word:
- blou - die tyd van ontvangs van die pakket;
- oranje - protokol weergawe;
- groen - sender se adres;
- pers - die adres van die ontvanger;
- grys - bykomende inligting oor tcp;
- rooi pakkie grootte (vertoon in grepe).
Hierdie sintaksis het die vermoë om in die venster uit te voer "Terminal" sonder die gebruik van addisionele opsies.
Vang verkeer met die -v opsie
Soos bekend uit die tabel, die opsie v kan jy die hoeveelheid inligting verhoog. Kom ons kyk na 'n voorbeeld. Gaan dieselfde koppelvlak aan:
sudo tcpdump -v -i ppp0
byvoorbeeld:
Hier kan jy sien dat die volgende reël in die uitset verskyn:
IP (tos 0x0, ttl 58, id 30675, offset 0, vlae [DF], proto TCP (6), lengte 52
Waar kleur uitgelig word:
- oranje - protokol weergawe;
- blou - die lewe van die protokol;
- groen - die lengte van die veldopskrif;
- pers weergawe van die tcp pakket;
- rooi pakkie grootte.
Ook in die bevelsyntax kan u die opsie skryf vv of -vvv, wat die hoeveelheid inligting wat op die skerm vertoon word, verder sal verhoog.
Die -w en -r opsie
Die opsies tabel het die moontlikheid genoem om al die uitsetdata in 'n aparte lêer te stoor sodat dit later aangevra kan word. Die opsie is hiervoor verantwoordelik. w. Dit is redelik maklik om te gebruik, voer dit net in die opdrag en voer dan die naam van die toekomstige lêer in met die uitbreiding ".Pcap". Oorweeg al die voorbeeld:
sudo tcpdump -i ppp0 -w file.pcap
byvoorbeeld:
Let wel: terwyl u logs na 'n lêer skryf, word geen teks op die "Terminal" skerm vertoon nie.
As jy die opgeneemde uitset wil sien, moet jy die opsie gebruik rgevolg deur die naam van die voorheen aangeteken lêer. Dit word toegepas sonder ander opsies en filters:
sudo tcpdump -r file.pcap
byvoorbeeld:
Albei hierdie opsies is perfek in gevalle waar u groot hoeveelhede teks vir die volgende analise moet stoor.
IP-filter
Uit die filtertafel weet ons dit dst kan jy net op die konsole skerm die pakkette wat ontvang is deur die adres wat in die bevelsyntaxis gespesifiseer is, vertoon. Dit is dus baie gerieflik om die pakkette wat deur u rekenaar ontvang word, te sien. Om dit te kan doen, moet die span net jou IP-adres spesifiseer:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
byvoorbeeld:
Soos jy kan sien, behalwe dst, in die span het ons ook die filter geregistreer IP. Met ander woorde, ons het aan die rekenaar gesê dat hy by die keuse van pakkies aandag moet skenk aan hul IP-adres, en nie aan ander parameters nie.
Deur IP kan u pakkies filter en stuur. In die voorbeeld gee ons ons IP weer. Dit is, ons sal nou opspoor watter pakkies vanaf ons rekenaar na ander adresse gestuur word. Om dit te doen, voer die volgende opdrag uit:
sudo tcpdump -i ppp0 ip src 10.0.6.67
byvoorbeeld:
Soos u kan sien, het ons die filter in die bevelsyntax verander. dst op src, en sodoende die masjien vertel om deur die IP na die sender te soek.
HOST filter
Analoog met IP in die span, kan ons 'n filter spesifiseer gasheerom pakkies met die gasheer van belang uit te wis. Dit is in die sintaksis, in plaas van die IP-adres van die sender / ontvanger, moet jy sy gasheer spesifiseer. Dit lyk soos volg:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
byvoorbeeld:
Op die beeld kan jy dit sien "Terminal" Slegs die pakkies wat van ons IP na google.com-gasheer gestuur is, word vertoon. Soos u kan sien, kan u in plaas van Google-gasheer enige ander invoer.
Soos met IP-filtering, is die sintaksis: dst kan vervang word deur srcOm die pakkies te sien wat na u rekenaar gestuur word:
sudo tcpdump -in ppp0 src host google-public-dns-a.google.com
Let wel: die gasheerfilter moet na dst of src wees, anders sal die opdrag 'n fout genereer. In die geval van IP-filtering, integendeel, is dst en src voor die ip-filter.
Filter en en of
As jy verskeie filters gelyktydig in een opdrag moet gebruik, moet jy 'n filter toepas. en of of (hang af van die geval). Deur die filters in die sintaksis te spesifiseer en hulle met hierdie stellings te skei, maak u 'werk' as een. In 'n voorbeeld lyk dit soos volg:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 of ip src 95.47.144.254
byvoorbeeld:
Van die opdrag sintaksis kan jy sien dat ons wil vertoon "Terminal" alle pakkies wat gestuur is na die adres 95.47.144.254 en pakkies wat by dieselfde adres ontvang is. U kan ook veranderlikes in hierdie uitdrukking verander. Byvoorbeeld, in plaas van IP, spesifiseer HOST of vervang die adresse self.
Filterpoort en portrange
filter hawe perfek vir wanneer jy inligting oor pakkies met 'n spesifieke hawe moet kry. Dus, as jy net antwoorde of DNS-navrae moet sien, moet jy poort 53 spesifiseer:
sudo tcpdump -vv -i ppp0 poort 53
byvoorbeeld:
As u http-pakkette wil sien, moet u poort 80 invoer:
sudo tcpdump -vv -i ppp0 poort 80
byvoorbeeld:
Dit is onder andere moontlik om die omvang van hawens dop te hou. Om dit te doen, pas die filter toe portrange:
sudo tcpdump portrange 50-80
Soos u kan sien, in samewerking met die filter portrange Dit is nie nodig om bykomende opsies te spesifiseer nie. Stel net die reeks.
Protokol Filtering
U kan ook slegs die verkeer wat ooreenstem met enige protokol vertoon. Om dit te doen, gebruik die naam van hierdie protokol as 'n filter. Kom ons kyk na 'n voorbeeld UDP:
sudo tcpdump -vvv -i ppp0 udp
byvoorbeeld:
Soos u kan sien in die prent, nadat u die opdrag uitgevoer het "Terminal" Slegs pakkies met die protokol is vertoon UDP. Gevolglik kan jy deur ander filter, byvoorbeeld, ARP:
sudo tcpdump -vvv -i ppp0 arp
of tcp:
sudo tcpdump -vvv -i ppp0 tcp
Filter net
operateur netto help filterpakkette uit op die aanwysing van hul netwerk. Dit is so maklik om te gebruik as die res - jy moet die kenmerk in die sintaksis spesifiseer netto, en voer dan die netwerkadres in. Hier is 'n voorbeeld van so 'n opdrag:
sudo tcpdump -i ppp0 net 192.168.1.1
byvoorbeeld:
Filter volgens pakket grootte
Ons het nie twee interessante filters oorweeg nie: minder en groter. Uit die tabel met filters weet ons dat hulle dien om meer datapakkette uit te voer (minder) of minder (groter) Die grootte wat gespesifiseer word nadat die attribuut ingeskryf is.
Gestel ons wil net pakkette monitor wat nie 50 bisse oorskry nie, dan sal die opdrag so lyk:
sudo tcpdump -i ppp0 minder 50
byvoorbeeld:
Kom ons kyk nou in "Terminal" pakkies groter as 50 bisse:
sudo tcpdump -i ppp0 groter 50
byvoorbeeld:
Soos u kan sien, word hulle ewe veel gebruik, die enigste verskil is in die naam van die filter.
gevolgtrekking
Aan die einde van die artikel kan ons aflei dat die span tcpdump - Dit is 'n goeie hulpmiddel waarmee u enige data pakket wat oor die internet oorgedra kan word, dop. Maar hiervoor is dit nie genoeg om die bevel self in te voer nie "Terminal". Om die gewenste resultaat te behaal, sal slegs verkry word as jy allerhande opsies en filters gebruik, asook hul kombinasies.
