Edellisessä artikkelissamme olemme nähneet 20 Netstat-komentoa seuraamaan tai hallitsemaan Linux-verkkoa. Tämä on toinen käynnissä oleva pakettien haistelutyökalusarja nimeltä tcpdump. Tässä kerromme sinulle, miten tcpdump asennetaan, ja sitten keskustelemme ja käsittelemme hyödyllisiä komentoja käytännön esimerkkeineen.
tcpdump on tehokkain ja yleisimmin käytetty komentorivipakettien nuuskija tai paketinanalysaattori, jota käytetään siepata tai suodattaa TCP / IP-paketteja, jotka on vastaanotettu tai siirretty verkon kautta tietyllä rajapinnalla. Se on saatavana useimmissa Linux / Unix-pohjaisissa käyttöjärjestelmissä. tcpdump antaa meille myös mahdollisuuden tallentaa siepatut paketit tiedostoon tulevaa analyysia varten. Se tallentaa tiedoston pcap-muodossa, jota voidaan tarkastella tcpdump-komennolla tai avoimen lähdekoodin GUI-pohjaisella työkalulla nimeltä Wireshark (Network Protocol Analyzier), joka lukee tcpdump pcap-muotoisia tiedostoja.
tcpdumpin asentaminen Linuxiin
Monet Linux-jakelut on jo toimitettu tcpdump -työkalun kanssa. Jos sinulla ei ole sitä järjestelmissä, voit asentaa sen seuraavalla Yum-komennolla.
# yum install tcpdump
Kun tcpdump-työkalu on asennettu järjestelmiin, voit jatkaa seuraavien komentojen ja niiden esimerkkien selaamista.
1. Sieppaa paketteja tietystä käyttöliittymästä
Komentoruutu vierittää ylöspäin, kunnes keskeytät, ja kun suoritamme tcpdump -komennon, se sieppaa kaikilta käyttöliittymiltä, mutta -i-kytkimellä kaappaus tapahtuu vain haluamalta käyttöliittymältä.
2. Sieppaa vain N pakettimäärä
Kun suoritat tcpdump-komennon sieppaa kaikki paketit tietylle käyttöliittymälle, kunnes painat Peruuta-painiketta. Mutta käyttämällä -c -vaihtoehtoa voit siepata tietyn määrän paketteja. Alla olevassa esimerkissä kaapataan vain 6 pakettia.
3. Tulosta siepatut paketit ASCII-muodossa
Alla oleva tcpdump-komento vaihtoehdolla -A näyttää paketin ASCII-muodossa. Se on merkkikoodausmuoto.
4. Näytä käytettävissä olevat rajapinnat
Jos haluat luetteloida käytettävissä olevien rajapintojen määrän järjestelmässä, suorita seuraava komento -D-vaihtoehdolla.
5. Näytä siepatut paketit HEX- ja ASCII-muodossa
Seuraava komento vaihtoehdolla -XX sieppaa jokaisen paketin tiedot, mukaan lukien sen linkkitason otsikko HEX- ja ASCII-muodossa.
6. Sieppaa ja tallenna paketteja tiedostoon
Kuten sanoimme, tcpdumpilla on ominaisuus kaapata ja tallentaa tiedosto .pcap-muodossa. Suorita tämä vain suorittamalla komento -w-vaihtoehdolla.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Lue siepatut pakettitiedosto
Voit lukea ja analysoida siepattuja paketteja 0001.pcap käyttämällä komentoa -r, kuten alla on esitetty.
8. Sieppaa IP-osoitepaketit
Voit kaapata paketteja tietylle käyttöliittymälle suorittamalla seuraavan komennon vaihtoehdolla -n.
9. Sieppaa vain TCP-paketit.
Voit kaapata TCP-porttiin perustuvia paketteja suorittamalla seuraavan komennon vaihtoehdolla tcp.
10. Sieppaa paketti tietystä portista
Oletetaan, että haluat siepata paketteja tietylle portille 22, suorita alla oleva komento määrittämällä portin numero 22 alla olevan kuvan mukaisesti.
11. Sieppaa paketteja lähde-IP: stä
Jos haluat siepata paketteja lähde-IP: stä, sano, että haluat siepata paketteja 192.168.0.2: lle, käytä komentoa seuraavasti.
12. Sieppaa paketteja kohde-IP: stä
Jos haluat siepata paketteja kohde-IP: stä, sano, että haluat siepata paketteja 50.116.66.139: lle, käytä komentoa seuraavasti.