În articolul anterior, am văzut 20 de comenzi Netstat pentru a monitoriza sau gestiona rețeaua Linux. Aceasta este o altă serie de instrumente în curs de desfășurare, numită tcpdump. Aici, vă vom arăta cum să instalați tcpdump și apoi vom discuta și acoperi câteva comenzi utile cu exemplele lor practice.
tcpdump este cel mai puternic și utilizat pe scară largă linie de comandă sniffer sau instrument de analiză a pachetelor pentru a captura sau filtra pachetele TCP / IP care au primit sau transferat printr-o rețea pe o anumită interfață. Este disponibil în majoritatea sistemelor de operare bazate pe Linux / Unix. tcpdump ne oferă, de asemenea, o opțiune de a salva pachetele capturate într-un fișier pentru analize viitoare. Salvează fișierul într-un format pcap, care poate fi vizualizat prin comanda tcpdump sau printr-un instrument open source bazat pe GUI numit Wireshark (Network Protocol Analyzier) care citește fișierele în format tcpdump pcap.
Cum se instalează tcpdump în Linux
Multe dintre distribuțiile Linux sunt deja livrate cu instrumentul tcpdump, dacă în cazul în care nu o aveți pe sisteme, o puteți instala folosind următoarea comandă Yum.
# yum install tcpdump
Odată ce instrumentul tcpdump este instalat pe sisteme, puteți continua să răsfoiți următoarele comenzi cu exemplele lor.
1. Capture pachete de la o interfață specifică
Ecranul de comandă va derula în sus până când îl întrerupeți și atunci când executăm comanda tcpdump va captura de pe toate interfețele, totuși cu comutatorul -i, capturați numai din interfața dorită.
2. Capturați numai N Număr de pachete
Când rulați tcpdump comandați-l va captura toate pachetele pentru interfața specificată, până când apăsați butonul Anulare. Dar folosind opțiunea -c, puteți captura un număr specificat de pachete. Exemplul de mai jos va captura doar 6 pachete.
3. Imprimați pachetele capturate în ASCII
Comanda tcpdump de mai jos cu opțiunea -A afișează pachetul în format ASCII. Este un format de schemă de codificare a caracterelor.
4. Afișați interfețele disponibile
Pentru a afișa numărul de interfețe disponibile pe sistem, executați următoarea comandă cu opțiunea -D.
5. Afișați pachetele capturate în HEX și ASCII
Următoarea comandă cu opțiunea -XX captează datele fiecărui pachet, inclusiv antetul nivelului de legătură în format HEX și ASCII.
6. Capturați și salvați pachetele într-un fișier
După cum am spus, tcpdump are o caracteristică pentru a captura și salva fișierul într-un format .pcap, pentru a face acest lucru, executați doar comanda cu opțiunea -w.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Citiți fișierul pachetelor capturate
Pentru a citi și analiza fișierul pachet capturat 0001.pcap utilizați comanda cu opțiunea -r, așa cum se arată mai jos.
8. Capturați pachete de adrese IP
Pentru a captura pachete pentru o anumită interfață, rulați următoarea comandă cu opțiunea -n.
9. Capturați numai pachete TCP.
Pentru a captura pachete bazate pe portul TCP, rulați următoarea comandă cu opțiunea tcp.
10. Capture Packet from Specific Port
Să presupunem că doriți să capturați pachete pentru portul specific 22, executați comanda de mai jos specificând numărul de port 22 așa cum se arată mai jos.
11. Capturați pachete din sursa IP
Pentru a captura pachete din sursa IP, spuneți că doriți să capturați pachete pentru 192.168.0.2, utilizați comanda după cum urmează.
12. Capturați pachete de la adresa IP de destinație
Pentru a captura pachete de la adresa IP de destinație, spuneți că doriți să capturați pachete pentru 50.116.66.139, utilizați comanda după cum urmează.