V našem předchozím článku jsme viděli 20 příkazů Netstat pro monitorování nebo správu sítě Linux. Toto je naše další pokračující řada nástrojů pro sledování paketů s názvem tcpdump. Zde vám ukážeme, jak nainstalovat tcpdump, a poté probereme a pokryjeme některé užitečné příkazy s jejich praktickými příklady.
tcpdump je nejvýkonnější a nejrozšířenější nástroj pro sledování balíčků příkazového řádku nebo nástroj pro analýzu balíků, který se používá zachytit nebo filtrovat pakety TCP / IP, které byly přijaty nebo přeneseny přes síť na konkrétním rozhraní. Je k dispozici ve většině operačních systémů založených na Linuxu / Unixu. tcpdump nám také dává možnost uložit zachycené pakety do souboru pro budoucí analýzu. Uloží soubor ve formátu pcap, který lze zobrazit příkazem tcpdump nebo nástrojem založeným na otevřeném grafickém uživatelském rozhraní s názvem Wireshark (Network Protocol Analyzier), který čte soubory ve formátu tcpdump pcap.
Jak nainstalovat tcpdump v systému Linux
Mnoho distribucí Linuxu, které jsou již dodávány s nástrojem tcpdump, pokud jej v systémech nemáte, můžete jej nainstalovat pomocí následujícího příkazu Yum.
# yum install tcpdump
Jakmile je nástroj tcpdump nainstalován v systémech, můžete pokračovat v procházení následujících příkazů s jejich příklady.
1. Zachycení paketů ze specifického rozhraní
Obrazovka příkazu se bude posouvat nahoru, dokud ji nepřerušíte, a když provedeme příkaz tcpdump, bude zachycovat ze všech rozhraní, avšak s přepínačem -i bude zachycováno pouze z rozhraní přání.
2. Zachyťte pouze N počet paketů
Když spustíte příkaz tcpdump, zachytí všechny pakety pro zadané rozhraní, dokud nestisknete tlačítko Storno. Ale pomocí volby -c můžete zachytit zadaný počet paketů. Následující příklad zachytí pouze 6 paketů.
3. Tisk zachycených paketů v ASCII
Níže uvedený příkaz tcpdump s volbou -A zobrazuje balíček ve formátu ASCII. Jedná se o formát schématu kódování znaků.
4. Zobrazit dostupná rozhraní
Chcete-li zobrazit počet dostupných rozhraní v systému, spusťte následující příkaz s volbou -D.
5. Zobrazit zachycené pakety v HEX a ASCII
Následující příkaz s volbou -XX zachycuje data každého paketu, včetně jeho záhlaví na úrovni odkazu ve formátu HEX a ASCII.
6. Zachycení a uložení paketů do souboru
Jak jsme již řekli, tcpdump má funkci pro zachycení a uložení souboru ve formátu .pcap, stačí provést příkaz s volbou -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Číst soubor zachycených paketů
Chcete-li číst a analyzovat zachycený soubor paketu 0001.pcap, použijte příkaz s volbou -r, jak je uvedeno níže.
8. Zachycení paketů IP adres
Chcete-li zachytit pakety pro konkrétní rozhraní, spusťte následující příkaz s volbou -n.
9. Zachyťte pouze pakety TCP.
Chcete-li zachytit pakety založené na portu TCP, spusťte následující příkaz s volbou tcp.
10. Zachytit paket ze specifického portu
Řekněme, že chcete zachytit pakety pro konkrétní port 22, proveďte následující příkaz zadáním čísla portu 22, jak je uvedeno níže.
11. Zachycení paketů ze zdrojové IP
Chcete-li zachytit pakety ze zdrojové IP, řekněme, že chcete zachytit pakety pro 192.168.0.2, použijte následující příkaz.
12. Zachycení paketů z cílové IP
Chcete-li zachytit pakety z cílové IP, řekněme, že chcete zachytit pakety pro 50.116.66.139, použijte následující příkaz.