I vår tidigare artikel har vi sett 20 Netstat-kommandon för att övervaka eller många Linux-nätverk. Detta är vår ytterligare pågående serie av paketsnifferverktyg som heter tcpdump. Här kommer vi att visa dig hur du installerar tcpdump och sedan diskuterar vi och täcker några användbara kommandon med deras praktiska exempel.
tcpdump är ett kraftfullaste och mest använda kommandoradspaket sniffer eller paketanalysverktyg som används för att fånga eller filtrera TCP / IP-paket som tagits emot eller överförts via ett nätverk i ett specifikt gränssnitt. Den är tillgänglig under de flesta Linux / Unix-baserade operativsystem. tcpdump ger oss också möjlighet att spara fångade paket i en fil för framtida analys. Det sparar filen i ett pcap-format som kan visas med tcpdump-kommandot eller ett GUI-baserat open source-verktyg som heter Wireshark (Network Protocol Analyzier) som läser tcpdump pcap-formatfiler.
Hur man installerar tcpdump i Linux
Många av Linux-distributioner som redan levererats med tcpdump-verktyget, om du inte har det på system kan du installera det med följande Yum-kommando.
# yum install tcpdump
När tcpdump-verktyget har installerats på system kan du fortsätta bläddra bland följande kommandon med deras exempel.
1. Fånga paket från specifikt gränssnitt
Kommandoskärmen kommer att rulla upp tills du avbryter och när vi kör tcpdump-kommandot kommer den att fånga från alla gränssnitt, men med -i växlar endast fångst från önskningsgränssnittet.
2. Fånga endast N antal paket
När du kör tcpdump-kommandot kommer att fånga alla paket för angivet gränssnitt tills du trycker på Avbryt-knappen. Men med -c-alternativet kan du fånga specificerat antal paket. Nedanstående exempel kommer bara att fånga 6 paket.
3. Skriv ut fångade paket i ASCII
Nedanstående tcpdump-kommando med alternativ -A visar paketet i ASCII-format. Det är ett schemaformat för teckenkodning.
4. Visa tillgängliga gränssnitt
För att lista antalet tillgängliga gränssnitt i systemet, kör följande kommando med -D-alternativet.
5. Visa fångade paket i HEX och ASCII
Följande kommando med alternativ -XX fångar in data för varje paket, inklusive dess länknivåhuvud i HEX- och ASCII-format.
6. Fånga och spara paket i en fil
Som vi sa har den tcpdump en funktion för att fånga och spara filen i ett .pcap-format, för att göra detta, kör bara kommandot med -w-alternativet.
# tcpdump -w 0001.pcap -i eth0tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes4 packets captured4 packets received by filter0 packets dropped by kernel
7. Läsa fångade paketfil
För att läsa och analysera fångad paket 0001.pcap-fil använder du kommandot med -r som visas nedan.
8. Fånga IP-adresspaket
För att fånga paket för ett specifikt gränssnitt, kör följande kommando med alternativ -n.
9. Fånga endast TCP-paket.
För att fånga paket baserat på TCP-port, kör följande kommando med alternativet tcp.
10. Fånga paket från specifik port
Låt oss säga att du vill fånga paket för specifik port 22, kör kommandot nedan genom att ange portnummer 22 som visas nedan.
11. Fånga paket från källans IP
För att fånga paket från källans IP, säg att du vill fånga paket för 192.168.0.2, använd kommandot enligt följande.
12. Fånga paket från mål-IP
För att fånga paket från mål-IP, säg att du vill fånga paket för 50.116.66.139, använd kommandot enligt följande.