12 Tcpdump-komentoa – verkon haistamistyökalu

Edellisessä artikkelissamme olemme nähneet 20 Netstat-komentoa seuraamaan tai hallitsemaan Linux-verkkoa. Tämä on toinen käynnissä oleva pakettien haistelutyökalusarja nimeltä tcpdump. Tässä kerromme sinulle, miten tcpdump asennetaan, ja sitten keskustelemme ja käsittelemme hyödyllisiä komentoja käytännön esimerkkeineen.

Linux tcpdump -komentoesimerkkejä

tcpdump on tehokkain ja yleisimmin käytetty komentorivipakettien nuuskija tai paketinanalysaattori, jota käytetään siepata tai suodattaa TCP / IP-paketteja, jotka on vastaanotettu tai siirretty verkon kautta tietyllä rajapinnalla. Se on saatavana useimmissa Linux / Unix-pohjaisissa käyttöjärjestelmissä. tcpdump antaa meille myös mahdollisuuden tallentaa siepatut paketit tiedostoon tulevaa analyysia varten. Se tallentaa tiedoston pcap-muodossa, jota voidaan tarkastella tcpdump-komennolla tai avoimen lähdekoodin GUI-pohjaisella työkalulla nimeltä Wireshark (Network Protocol Analyzier), joka lukee tcpdump pcap-muotoisia tiedostoja.

tcpdumpin asentaminen Linuxiin

Monet Linux-jakelut on jo toimitettu tcpdump -työkalun kanssa. Jos sinulla ei ole sitä järjestelmissä, voit asentaa sen seuraavalla Yum-komennolla.

# yum install tcpdump

Kun tcpdump-työkalu on asennettu järjestelmiin, voit jatkaa seuraavien komentojen ja niiden esimerkkien selaamista.

1. Sieppaa paketteja tietystä käyttöliittymästä

Komentoruutu vierittää ylöspäin, kunnes keskeytät, ja kun suoritamme tcpdump -komennon, se sieppaa kaikilta käyttöliittymiltä, mutta -i-kytkimellä kaappaus tapahtuu vain haluamalta käyttöliittymältä.

2. Sieppaa vain N pakettimäärä

Kun suoritat tcpdump-komennon sieppaa kaikki paketit tietylle käyttöliittymälle, kunnes painat Peruuta-painiketta. Mutta käyttämällä -c -vaihtoehtoa voit siepata tietyn määrän paketteja. Alla olevassa esimerkissä kaapataan vain 6 pakettia.

3. Tulosta siepatut paketit ASCII-muodossa

Alla oleva tcpdump-komento vaihtoehdolla -A näyttää paketin ASCII-muodossa. Se on merkkikoodausmuoto.

4. Näytä käytettävissä olevat rajapinnat

Jos haluat luetteloida käytettävissä olevien rajapintojen määrän järjestelmässä, suorita seuraava komento -D-vaihtoehdolla.

5. Näytä siepatut paketit HEX- ja ASCII-muodossa

Seuraava komento vaihtoehdolla -XX sieppaa jokaisen paketin tiedot, mukaan lukien sen linkkitason otsikko HEX- ja ASCII-muodossa.

6. Sieppaa ja tallenna paketteja tiedostoon

Kuten sanoimme, tcpdumpilla on ominaisuus kaapata ja tallentaa tiedosto .pcap-muodossa. Suorita tämä vain suorittamalla komento -w-vaihtoehdolla.

# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel

7. Lue siepatut pakettitiedosto

Voit lukea ja analysoida siepattuja paketteja 0001.pcap käyttämällä komentoa -r, kuten alla on esitetty.

8. Sieppaa IP-osoitepaketit

Voit kaapata paketteja tietylle käyttöliittymälle suorittamalla seuraavan komennon vaihtoehdolla -n.

9. Sieppaa vain TCP-paketit.

Voit kaapata TCP-porttiin perustuvia paketteja suorittamalla seuraavan komennon vaihtoehdolla tcp.

10. Sieppaa paketti tietystä portista

Oletetaan, että haluat siepata paketteja tietylle portille 22, suorita alla oleva komento määrittämällä portin numero 22 alla olevan kuvan mukaisesti.

11. Sieppaa paketteja lähde-IP: stä

Jos haluat siepata paketteja lähde-IP: stä, sano, että haluat siepata paketteja 192.168.0.2: lle, käytä komentoa seuraavasti.

12. Sieppaa paketteja kohde-IP: stä

Jos haluat siepata paketteja kohde-IP: stä, sano, että haluat siepata paketteja 50.116.66.139: lle, käytä komentoa seuraavasti.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *