I vår forrige artikkel har vi sett 20 Netstat-kommandoer for å overvåke eller mange Linux-nettverk. Dette er en annen pågående serie med pakkesnifferverktøy kalt tcpdump. Her skal vi vise deg hvordan du installerer tcpdump, og så diskuterer og dekker vi noen nyttige kommandoer med deres praktiske eksempler.
tcpdump er et kraftigste og mest brukte kommandolinjepakke sniffer eller pakke analysator verktøy som brukes for å fange eller filtrere TCP / IP-pakker som mottok eller overføres over et nettverk på et bestemt grensesnitt. Den er tilgjengelig under de fleste Linux / Unix-baserte operativsystemene. tcpdump gir oss også muligheten til å lagre fangede pakker i en fil for fremtidig analyse. Det lagrer filen i et pcap-format, som kan vises med tcpdump-kommando eller et åpen kildekode-GUI-basert verktøy kalt Wireshark (Network Protocol Analyzier) som leser tcpdump pcap-formatfiler.
Slik installerer du tcpdump i Linux
Mange av Linux-distribusjoner som allerede er levert med tcpdump-verktøy. Hvis du ikke har det på systemer, kan du installere det ved å følge Yum-kommandoen.
# yum install tcpdump
Når tcpdump-verktøyet er installert på systemer, kan du fortsette å bla gjennom følgende kommandoer med eksemplene.
1. Fang pakker fra spesifikt grensesnitt
Kommandoskjermen vil rulle opp til du avbryter, og når vi utfører tcpdump-kommando, blir den tatt fra alle grensesnittene, men med -i bytter bare fangst fra ønsket grensesnitt.
2. Fang bare N antall pakker
Når du kjører tcpdump kommandoer vil fange opp alle pakkene for det angitte grensesnittet, til du trykker på Avbryt-knappen. Men ved å bruke -c-alternativet, kan du fange spesifisert antall pakker. Eksemplet nedenfor fanger bare 6 pakker.
3. Skriv ut fangede pakker i ASCII
Kommandoen under tcpdump med alternativ -A viser pakken i ASCII-format. Det er et skjemaformat for tegnkoding.
4. Vis tilgjengelige grensesnitt
Hvis du vil liste antall tilgjengelige grensesnitt på systemet, kjører du følgende kommando med -D-alternativ.
5. Vis fangede pakker i HEX og ASCII
Følgende kommando med alternativ -XX fanger opp dataene til hver pakke, inkludert koblingsnivåoverskriften i HEX- og ASCII-format.
6. Fang og lagre pakker i en fil
Som vi sa, at tcpdump har en funksjon for å fange og lagre filen i .pcap-format, for å gjøre dette bare utfør kommando med -w alternativ.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Les innfangne pakkerfil
For å lese og analysere fanget pakke 0001.pcap-fil, bruk kommandoen med -r-alternativet, som vist nedenfor.
8. Hent IP-adressepakker
For å fange pakker for et bestemt grensesnitt, kjør følgende kommando med alternativ -n.
9. Ta bare TCP-pakker.
For å fange pakker basert på TCP-port, kjør følgende kommando med alternativet tcp.
10. Capture Packet from Specific Port
La oss si at du vil fange pakker for spesifikk port 22, utfør kommandoen nedenfor ved å spesifisere portnummer 22 som vist nedenfor.
11. Hent pakker fra kilde IP
For å fange pakker fra kilde IP, si at du vil fange pakker for 192.168.0.2, bruk kommandoen som følger.
12. Fang pakker fra destinasjons-IP
For å fange pakker fra destinasjons-IP, si at du vil fange pakker for 50.116.66.139, bruk kommandoen som følger.