W naszym poprzednim artykule widzieliśmy 20 poleceń Netstat do monitorowania lub zarządzania siecią Linux. To nasza kolejna seria narzędzi do wykrywania pakietów o nazwie tcpdump. Tutaj pokażemy, jak zainstalować tcpdump, a następnie omówimy i omówimy kilka przydatnych poleceń z ich praktycznymi przykładami.
tcpdump to najpotężniejszy i najczęściej używany sniffer pakietów lub narzędzie do analizy pakietów z wiersza poleceń przechwytywanie lub filtrowanie pakietów TCP / IP, które zostały odebrane lub przesłane przez sieć przez określony interfejs. Jest dostępny w większości systemów operacyjnych opartych na Linux / Unix. tcpdump daje nam również opcję zapisywania przechwyconych pakietów w pliku do późniejszej analizy. Zapisuje plik w formacie pcap, który można wyświetlić za pomocą polecenia tcpdump lub narzędzia opartego na graficznym interfejsie użytkownika o nazwie Wireshark (Network Protocol Analyzier), które czyta pliki w formacie tcpdump pcap.
Jak zainstalować tcpdump w systemie Linux
Wiele dystrybucji Linuksa jest już dostarczanych z narzędziem tcpdump, jeśli nie masz go w systemach, możesz go zainstalować za pomocą polecenia Yum.
# yum install tcpdump
Po zainstalowaniu narzędzia tcpdump w systemach możesz kontynuować przeglądanie następujących poleceń wraz z ich przykładami.
1. Przechwytuj pakiety z określonego interfejsu
Ekran poleceń będzie przewijał się w górę do momentu przerwania, a kiedy wykonamy polecenie tcpdump, przechwyci je ze wszystkich interfejsów, jednak z opcją -i przełącz przechwytywanie tylko z interfejsu pożądanego.
2. Przechwyć tylko N Liczba pakietów
Po uruchomieniu polecenia tcpdump przechwyci wszystkie pakiety dla określonego interfejsu, dopóki nie naciśniesz przycisku anulowania. Ale używając opcji -c, możesz przechwycić określoną liczbę pakietów. Poniższy przykład przechwyci tylko 6 pakietów.
3. Drukuj przechwycone pakiety w ASCII
Poniższe polecenie tcpdump z opcją -A wyświetla pakiet w formacie ASCII. Jest to format schematu kodowania znaków.
4. Wyświetl dostępne interfejsy
Aby wyświetlić listę dostępnych interfejsów w systemie, uruchom następujące polecenie z opcją -D.
5. Wyświetl przechwycone pakiety w formacie HEX i ASCII
Następujące polecenie z opcją -XX przechwytuje dane każdego pakietu, w tym jego nagłówek poziomu łącza, w formacie HEX i ASCII.
6. Przechwytywanie i zapisywanie pakietów w pliku
Jak powiedzieliśmy, tcpdump ma funkcję przechwytywania i zapisywania pliku w formacie .pcap, aby to zrobić, po prostu wykonaj polecenie z opcją -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Czytaj plik przechwyconych pakietów
Aby odczytać i przeanalizować przechwycony plik 0001.pcap pakietu, użyj polecenia z opcją -r, jak pokazano poniżej.
8. Przechwyć pakiety adresów IP
Aby przechwycić pakiety dla określonego interfejsu, uruchom następujące polecenie z opcją -n.
9. Przechwytuj tylko pakiety TCP.
Aby przechwytywać pakiety w oparciu o port TCP, uruchom następujące polecenie z opcją tcp.
10. Przechwyć pakiet z określonego portu
Powiedzmy, że chcesz przechwycić pakiety z określonego portu 22, wykonaj poniższe polecenie, podając numer portu 22, jak pokazano poniżej.
11. Przechwyć pakiety ze źródłowego adresu IP
Aby przechwycić pakiety ze źródłowego adresu IP, powiedzmy, że chcesz przechwycić pakiety dla 192.168.0.2, użyj następującego polecenia.
12. Przechwyć pakiety z docelowego adresu IP
Aby przechwycić pakiety z docelowego adresu IP, powiedzmy, że chcesz przechwycić pakiety dla 50.116.66.139, użyj następującego polecenia.