I vores forrige artikel har vi set 20 Netstat-kommandoer til at overvåge eller mange Linux-netværk. Dette er vores anden igangværende serie af pakke sniffer værktøj kaldet tcpdump. Her skal vi vise dig, hvordan du installerer tcpdump, og så diskuterer og dækker vi nogle nyttige kommandoer med deres praktiske eksempler.
tcpdump er et mest kraftfuldt og udbredt kommandolinjepakke sniffer eller pakke analysator værktøj, der bruges til at fange eller filtrere TCP / IP-pakker, der modtages eller overføres via et netværk på en bestemt grænseflade. Den er tilgængelig under de fleste Linux / Unix-baserede operativsystemer. tcpdump giver os også en mulighed for at gemme fangede pakker i en fil til fremtidig analyse. Det gemmer filen i et pcap-format, der kan ses med tcpdump-kommando eller et open source GUI-baseret værktøj kaldet Wireshark (Network Protocol Analyzier), der læser tcpdump pcap-formatfiler.
Sådan installeres tcpdump i Linux
Mange af Linux-distributioner, der allerede er leveret med tcpdump-værktøj, hvis du ikke har det på systemer, kan du installere det ved at følge Yum-kommandoen.
# yum install tcpdump
Når tcpdump-værktøjet er installeret på systemer, kan du fortsætte med at gennemse følgende kommandoer med deres eksempler.
1. Hent pakker fra den specifikke grænseflade
Kommandoskærmen ruller op, indtil du afbryder, og når vi udfører tcpdump-kommandoen, bliver den fanget fra alle grænseflader, men med -i skifter kun fangst fra ønsket grænseflade.
2. Capture Only N Antal pakker
Når du kører tcpdump kommando vil fange alle pakkerne til den angivne grænseflade, indtil du trykker på knappen Annuller. Men ved hjælp af -c-indstillingen kan du fange et specificeret antal pakker. Nedenstående eksempel fanger kun 6 pakker.
3. Udskriv fangede pakker i ASCII
Nedenstående tcpdump-kommando med option -A viser pakken i ASCII-format. Det er et skemaformat for tegnkodning.
4. Vis tilgængelige grænseflader
Hvis du vil liste antallet af tilgængelige grænseflader på systemet, skal du køre følgende kommando med -D-indstilling.
5. Vis indfangede pakker i HEX og ASCII
Følgende kommando med option -XX fanger dataene for hver pakke, inklusive dens linkniveauoverskrift i HEX- og ASCII-format.
6. Capture and Save Packets in a File
Som vi sagde, at tcpdump har en funktion til at fange og gemme filen i et .pcap-format, for at udføre dette skal du bare udføre kommando med -w option.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Læs indfanget pakkefil
For at læse og analysere indfanget pakke 0001.pcap-fil skal du bruge kommandoen med -r som vist nedenfor.
8. Hent IP-adressepakker
For at fange pakker til en bestemt grænseflade skal du køre følgende kommando med option -n.
9. Indfang kun TCP-pakker.
For at fange pakker baseret på TCP-port, skal du køre følgende kommando med mulighed tcp.
10. Capture Packet from Specific Port
Lad os sige, at du vil fange pakker til specifik port 22, udfør nedenstående kommando ved at angive portnummer 22 som vist nedenfor.
11. Capture Packets from source IP
Hvis du vil fange pakker fra source IP, skal du sige, at du vil fange pakker til 192.168.0.2, bruge kommandoen som følger.
12. Capture Packets from destination IP
Hvis du vil fange pakker fra destinations-IP, skal du sige, at du vil fange pakker til 50.116.66.139, og bruge kommandoen som følger.