In unserem vorherigen Artikel haben wir 20 Netstat-Befehle zum Überwachen oder Verwalten des Linux-Netzwerks gesehen. Dies ist unsere weitere fortlaufende Serie von Paket-Sniffer-Tools namens tcpdump. Hier zeigen wir Ihnen, wie Sie tcpdump installieren, und diskutieren und behandeln einige nützliche Befehle anhand ihrer praktischen Beispiele.
tcpdump ist ein leistungsstarkes und am weitesten verbreitetes Sniffer- oder Paketanalysetool für Befehlszeilenpakete zum Erfassen oder Filtern von TCP / IP-Paketen, die über ein Netzwerk auf einer bestimmten Schnittstelle empfangen oder übertragen wurden. Es ist unter den meisten Linux / Unix-basierten Betriebssystemen verfügbar. tcpdump bietet uns auch die Möglichkeit, erfasste Pakete für zukünftige Analysen in einer Datei zu speichern. Die Datei wird in einem pcap-Format gespeichert, das mit dem Befehl tcpdump oder einem Open Source-GUI-basierten Tool namens Wireshark (Network Protocol Analyzier) angezeigt werden kann, das Dateien im pcap-Format von tcpdump liest.
So installieren Sie tcpdump unter Linux
Viele Linux-Distributionen werden bereits mit dem Tool tcpdump ausgeliefert. Wenn Sie es nicht auf Systemen haben, können Sie es mit dem folgenden Yum-Befehl installieren.
# yum install tcpdump
Sobald das tcpdump-Tool auf Systemen installiert ist, können Sie die folgenden Befehle mit ihren Beispielen weiter durchsuchen.
1. Erfassen von Paketen von einer bestimmten Schnittstelle
Der Befehlsbildschirm wird nach oben gescrollt, bis Sie ihn unterbrechen. Wenn wir den Befehl tcpdump ausführen, werden alle Schnittstellen erfasst, jedoch mit dem Schalter -i, der nur von der gewünschten Schnittstelle erfasst wird.
2. Nur N Anzahl von Paketen erfassen
Wenn Sie den Befehl tcpdump ausführen erfasst alle Pakete für die angegebene Schnittstelle, bis Sie auf die Schaltfläche Abbrechen klicken. Mit der Option -c können Sie jedoch die angegebene Anzahl von Paketen erfassen. Im folgenden Beispiel werden nur 6 Pakete erfasst.
3. Erfasste Pakete in ASCII drucken
Der folgende Befehl tcpdump mit der Option -A zeigt das Paket im ASCII-Format an. Es handelt sich um ein Zeichencodierungsschema.
4. Verfügbare Schnittstellen anzeigen
Führen Sie den folgenden Befehl mit der Option -D aus, um die Anzahl der verfügbaren Schnittstellen im System aufzulisten.
5. Erfasste Pakete in HEX und ASCII anzeigen
Der folgende Befehl mit der Option -XX erfasst die Daten jedes Pakets, einschließlich seines Headers auf Verbindungsebene im HEX- und ASCII-Format.
6. Erfassen und Speichern von Paketen in einer Datei
Wie bereits erwähnt, verfügt tcpdump über eine Funktion zum Erfassen und Speichern der Datei im .pcap-Format. Führen Sie dazu einfach den Befehl mit der Option -w aus.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Datei für erfasste Pakete lesen
Um die erfasste Paketdatei 0001.pcap zu lesen und zu analysieren, verwenden Sie den Befehl mit der Option -r (siehe unten).
8. IP-Adresspakete erfassen
Um Pakete für eine bestimmte Schnittstelle zu erfassen, führen Sie den folgenden Befehl mit der Option -n aus.
9. Erfassen Sie nur TCP-Pakete.
Führen Sie den folgenden Befehl mit der Option tcp aus, um Pakete basierend auf dem TCP-Port zu erfassen.
10. Paket von einem bestimmten Port erfassen
Angenommen, Sie möchten Pakete für einen bestimmten Port 22 erfassen. Führen Sie den folgenden Befehl aus, indem Sie die Portnummer 22 wie unten gezeigt angeben.
11. Erfassen von Paketen von der Quell-IP
Verwenden Sie den folgenden Befehl, um Pakete von der Quell-IP zu erfassen. Angenommen, Sie möchten Pakete für 192.168.0.2 erfassen.
12. Erfassen von Paketen von der Ziel-IP
Verwenden Sie den folgenden Befehl, um Pakete von der Ziel-IP zu erfassen. Angenommen, Sie möchten Pakete für 50.116.66.139 erfassen.