In ons vorige artikel hebben we 20 Netstat Commands gezien om het Linux-netwerk te controleren of te beheren. Dit is onze andere doorlopende reeks packet sniffer-tools genaamd tcpdump. Hier gaan we u laten zien hoe u tcpdump installeert en vervolgens bespreken en behandelen we enkele nuttige opdrachten met hun praktische voorbeelden.
tcpdump is een krachtigste en meest gebruikte opdrachtregelpakket sniffer of pakketanalysetool die wordt gebruikt om TCP / IP-pakketten vast te leggen of te filteren die via een netwerk op een specifieke interface zijn ontvangen of verzonden. Het is beschikbaar onder de meeste op Linux / Unix gebaseerde besturingssystemen. tcpdump geeft ons ook een optie om vastgelegde pakketten in een bestand op te slaan voor toekomstige analyse. Het slaat het bestand op in een pcap-indeling, die kan worden bekeken met de opdracht tcpdump of een open source GUI-gebaseerde tool genaamd Wireshark (Network Protocol Analyzier) die bestanden in tcpdump pcap-indeling leest.
Hoe tcpdump te installeren in Linux
Veel van Linux-distributies zijn al geleverd met tcpdump-tool, als je het niet op systemen hebt, kun je het installeren met het volgende Yum-commando.
# yum install tcpdump
Zodra de tcpdump-tool op systemen is geïnstalleerd, kunt u doorgaan met het bladeren door de volgende opdrachten met hun voorbeelden.
1. Capture Packets from Specific Interface
Het commandoscherm zal omhoog scrollen totdat je het onderbreekt en wanneer we het tcpdump commando uitvoeren, zal het van alle interfaces vangen, maar met -i schakel je alleen capture van de gewenste interface.
2. Capture Only N Number of Packets
Wanneer u de opdracht tcpdump uitvoert zal alle pakketten voor de gespecificeerde interface vastleggen, totdat je op de knop Annuleren drukt. Maar met de optie -c kunt u het opgegeven aantal pakketten vastleggen. Het onderstaande voorbeeld zal slechts 6 pakketten vastleggen.
3. Druk vastgelegde pakketten af in ASCII
De onderstaande opdracht tcpdump met optie -A geeft het pakket weer in ASCII-indeling. Het is een schema voor tekencodering.
4. Beschikbare interfaces weergeven
Om het aantal beschikbare interfaces op het systeem weer te geven, voert u het volgende commando uit met de optie -D.
5. Geef vastgelegde pakketten weer in HEX en ASCII
Het volgende commando met optie -XX legt de gegevens van elk pakket vast, inclusief de kop op het linkniveau in HEX- en ASCII-indeling.
6. Pakketten vastleggen en opslaan in een bestand
Zoals we al zeiden, heeft die tcpdump een functie om het bestand vast te leggen en op te slaan in een .pcap-indeling, om dit te doen, voer je gewoon het commando uit met de optie -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Read Captured Packets File
Gebruik het commando met de optie -r om het vastgelegde packet 0001.pcap-bestand te lezen en te analyseren, zoals hieronder getoond.
8. IP-adrespakketten vastleggen
Om pakketten voor een specifieke interface vast te leggen, voert u het volgende commando uit met optie -n.
9. Leg alleen TCP-pakketten vast.
Om pakketten vast te leggen op basis van de TCP-poort, voert u de volgende opdracht uit met optie tcp.
10. Pakket vastleggen van specifieke poort
Stel dat u pakketten voor specifieke poort 22 wilt vastleggen, voer de onderstaande opdracht uit door poortnummer 22 op te geven, zoals hieronder wordt weergegeven.
11. Pakketten van bron-IP vastleggen
Om pakketten van bron-IP te vangen, stel dat u pakketten wilt vastleggen voor 192.168.0.2, gebruikt u het commando als volgt.
12. Pakketten vastleggen van doel-IP
Om pakketten van bestemmings-IP te vangen, stel dat u pakketten wilt vastleggen voor 50.116.66.139, gebruikt u het commando als volgt.