Előző cikkünkben 20 Netstat parancsot láttunk a Linux hálózatának figyelemmel kísérésére vagy összekeverésére. Ez a tcpdump nevű újabb csomag-szippantó eszköz sorozatunk. Itt bemutatjuk a tcpdump telepítésének módját, majd néhány hasznos parancsot átbeszélünk és áttekintünk gyakorlati példáikkal.
A tcpdump a legerősebb és legszélesebb körben használt parancssori csomagszippantó vagy csomagelemző eszköz TCP / IP csomagok rögzítése vagy szűrése, amelyek egy adott interfészen keresztül hálózaton fogadtak vagy továbbítottak. Ez elérhető a legtöbb Linux / Unix alapú operációs rendszerben. A tcpdump lehetőséget ad arra is, hogy a rögzített csomagokat fájlba mentse a későbbi elemzés céljából. A fájlt pcap formátumban menti, amelyet tcpdump paranccsal vagy egy Wireshark (Network Protocol Analyzier) nevű nyílt forráskódú GUI alapú eszközzel lehet megtekinteni, amely beolvassa a tcpdump pcap formátumú fájlokat.
A tcpdump telepítése Linux alatt
Sok Linux disztribúció már a tcpdump eszközzel együtt szállított, ha nem rendelkezik a rendszerekkel, akkor a Yum paranccsal telepítheti.
# yum install tcpdump
A tcpdump eszköz telepítése után folytathatja a következő parancsok böngészését a példáikkal együtt.
1. Csomagok rögzítése meghatározott interfészről
A parancsképernyő felfelé görget, amíg megszakítja, és amikor végrehajtjuk a tcpdump parancsot, akkor az összes interfészről rögzít, azonban az -i kapcsolóval csak a vágyfelületről készít felvételt.
2. Csak N csomag rögzítése
A tcpdump futtatásakor parancsolja meg rögzíti az összes csomagot a megadott felülethez, amíg meg nem nyomja a Mégse gombot. De a -c opcióval rögzíthet meghatározott számú csomagot. Az alábbi példa csak 6 csomagot fog rögzíteni.
3. Fogott csomagok nyomtatása ASCII formátumban
Az alábbi tcpdump parancs az -A opcióval ASCII formátumban jeleníti meg a csomagot. Ez egy karakterkódoló séma formátum.
4. Elérhető interfészek megjelenítése
A rendelkezésre álló interfészek számának felsorolásához futtassa a következő parancsot a -D opcióval.
5. A rögzített csomagok megjelenítése HEX és ASCII formátumban
A következő parancs az -XX opcióval rögzíti az egyes csomagok adatait, beleértve annak linkszintű fejlécét HEX és ASCII formátumban.
6. Csomagok rögzítése és mentése fájlban
Mint mondtuk, a tcpdump rendelkezik egy funkcióval, amellyel a fájlt .pcap formátumban rögzítheti és elmentheti, csak a -w kapcsolóval hajthatja végre a parancsot.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. A rögzített csomagok fájljának olvasása
A rögzített 0001.pcap csomag elolvasásához és elemzéséhez használja az -r paranccsal az alábbiakat.
8. IP-cím csomagok rögzítése
Csomagok rögzítéséhez egy adott felülethez futtassa a következő parancsot az -n opcióval.
9. Csak TCP csomagok rögzítése.
A TCP porton alapuló csomagok rögzítéséhez futtassa a következő parancsot a tcp opcióval.
10. Csomag rögzítése meghatározott portról
Tegyük fel, hogy csomagokat szeretne rögzíteni a 22-es porthoz, hajtsa végre az alábbi parancsot a 22-es portszám megadásával az alábbiak szerint.
11. Csomagok rögzítése a forrás IP-ből
Ha csomagokat szeretne rögzíteni a forrás IP-ből, akkor mondjuk, hogy csomagokat szeretne rögzíteni a 192.168.0.2 fájlhoz, használja a következő parancsot.
12. Csomagok rögzítése a cél IP-ről
Ha csomagokat szeretne rögzíteni a cél IP-ről, akkor tegye azt, hogy csomagokat szeretne rögzíteni az 50.116.66.139 csomaghoz, használja a következő parancsot.