Efirni filtrlang! Biz tarmoq trafigini tcpdump yordamida tekshiramiz. Tcpdump - misollar bilan foydali qo'llanma Tcpdump misollari

tcpdump - bu kuchli buyruq qatori analizatori va Libpcap, tarmoq trafigini yozib olish uchun portativ kutubxona. Tcpdump mantiqiy ifodaga mos keladigan tarmoq interfeysidagi paketlar mazmuni tavsifini chop etadi. U, shuningdek, -w tugmachasi yordamida ishga tushirilishi mumkin, bu uni keyinchalik ma'lumotlarni tahlil qilish uchun faylga saqlashga chaqiradi va / yoki saqlangan ommaviy fayldan o'qishga olib keladigan -r bayrog'i bilan. Ushbu yordamchi dastur yordamida siz ushbu dastur ishlayotgan shaxsiy kompyuter orqali o'tadigan tarmoq trafigini ushlab turishingiz va tahlil qilishingiz mumkin.

Men ushbu mavzuda "tcpdump-ni o'rnatish va undan foydalanish" haqida, shuningdek, tcpdump-ni o'rnatish, shuningdek, uni qanday ishlatish va nima uchun ekanligi haqida gaplashmoqchiman.

Tcpdump yordamida siz:

• Siz tarmoq dasturlarini tuzatishingiz mumkin.
• Siz tarmoqni yoki umuman tarmoq uskunasini disk raskadrovka qilishingiz mumkin.

Debian/ubuntu/linux mint-ga tcpdump-ni o'rnatish uchun siz quyidagilarni bajarishingiz kerak:

# sudo apt-get install tcpdump

RedHat/CentOS/Fedora-ga tcpdump-ni o'rnatish uchun:

# sudo yum tcpdump-ni o'rnating

MacOS-da tcpdump-ni o'rnatish uchun foydalaning.

# brew o'rnatish tcpdump

Tcpdump -dan foydalanish.

Tcpdump biz uchun ishlayotganligini tekshirish uchun quyidagi buyruqni bajarishingiz mumkin:

# tcpdump -i eth0 port 80

Tcpdump yordam dasturidan foydalanish uchun juda ko'p kalitlar mavjud, men umumiy ro'yxatini beraman:

Agar siz 21 ta server qanday paketlarni almashayotganini bilmoqchi bo'lsangiz (masalan, your_server_1 va your_server_2), buning uchun buyruq ishlatiladi:

# tcpdump hosting sizning_serveringiz_1 va sizning_serveringiz_2

Agar siz faqat xostdan chiquvchi paketlarni kuzatishingiz kerak bo'lsa, quyidagi amallarni bajaring:

# tcpdump src sizning_serveringizni joylashtiradi

Agar siz faqat xostdan kiruvchi paketlarni kuzatmoqchi bo'lsangiz, quyidagilarni bajaring:

# tcpdump dst serveringizga xost

Shuningdek, siz serverdan chiquvchi yoki kiruvchi paketlarni va buning uchun ma'lum bir portni tinglashingiz mumkin, shunchaki tinglamoqchi bo'lgan portni qo'shing (asosan 80, 8080 ishlatiladi).

Tcpdumt tinglashi mumkin bo'lgan interfeyslar ro'yxatiga qarang:

# tcpdump -D

eth0 interfeysini tinglang:

# tcpdump -i eth0

Har qanday mavjud interfeysda o'ynang (Linux yadrosi 2.2 yoki undan yuqori versiyasini talab qiladi):

# tcpdump -men har qandayman

Ekranda hamma narsani ko'rsatish (dastur tomonidan amalga oshiriladigan hamma narsa):

# tcpdump -v

Ekranda ko'p narsalarni ko'rsatish (hamma narsa dastur tomonidan amalga oshiriladi):

# tcpdump -vv

Ekranda juda ko'p chiqish mavjud (dastur tomonidan amalga oshiriladigan hamma narsa):

# tcpdump -vvv

Paketlarni olishda ko'p ma'lumotni chop eting (standart emas):

# tcpdump -q

Paketni yozib olishni 100 tagacha cheklang:

# tcpdump -c 100

Barcha ma'lumotlarni (olingan paketlarni) capture.cap nomli faylga yozing:

# tcpdump -w capture.cap

Barcha ma'lumotlarni (qo'lga olingan paketlarni) capture.cap nomli faylga yozing va uni real vaqtda ko'rsating:

# tcpdump -v -w capture.cap

capture.cap faylidan paketlarni chiqarish:

# tcpdump -r capture.cap

Paketlarni iloji boricha ko'proq ma'lumotlardan foydalanib, catch.cap faylidan chiqarish:

# tcpdump -vvv -r capture.cap

Domenlar o'rniga IP va portlarni chiqarish, paketlarni olish davom etmoqda:

# tcpdump -n

Belgilangan host 192.138.1.1 bo'lgan har qanday paketlarni yozib oling. IP chiqishi va ekrandagi portlar:

# tcpdump -n dst xost 192.138.1.1

# tcpdump -n src host 192.138.1.1

192.138.1.1 xostidan har qanday paketlarni oling. IP chiqishi va ekrandagi portlar:

# tcpdump -n xost 192.138.1.1

Tarmoq 192.138.1.0/24 bo'lgan paketlarni yozib oling. IP chiqishi va ekrandagi portlar:

# tcpdump -n dst net 192.138.1.0/24

# tcpdump -n src net 192.138.1.0/24

192.138.1.0/24 tarmog'idan paketlarni yozib oling. IP chiqishi va ekrandagi portlar:

# tcpdump -n aniq 192.138.1.0/24

23 -portdan paketlarni yozib oling. IP va portlarning ekranda ko'rinishi:

# tcpdump -n dst port 23

1 dan 1023 gacha bo'lgan portlardan paketlarni yozib oling. Ekranda IP va portlarni ko'rsatish:

# tcpdump -n dst portrange 1-1023

Faqat TCP paketlarini yozib oling, u erda maqsad 1 dan 1023 gacha bo'lgan portlarda. IP va portlarning ekranda ko'rinishi:

# tcpdump -n tcp dst 1-1023 oralig'ida

Belgilangan manzil 1 dan 1023 gacha bo'lgan portlarda bo'lgan faqat UDP paketlarini suratga oling. Ekranda IP va portlarni ko'rsatish:

# tcpdump -n udp dst portrange 1-1023

IP 192.138.1.1 va maqsad porti 23 bo'lgan manzildan paketlarni yozib oling. Displey:

# tcpdump -n "dst host 192.138.1.1 va dst port 23"

Paketlarni IP 192.138.1.1 va 80 yoki 443 portlaridagi manzillardan oling. Displey:

# tcpdump -n "dst host 192.138.1.1 va (dst port 80 yoki dst port 443)"

Har qanday ICMP paketlarini yozib oling:

# tcpdump -v icmp

Har qanday ARP paketlarini yozib oling:

# tcpdump -v arp

Har qanday ICMP yoki ARP paketlarini yozib oling:

# tcpdump -v "icmp yoki arp"

Efirga uzatiladigan yoki multikastli paketlarni yozib oling:

# tcpdump -n "translyatsiya yoki multicast"

Standart 68b emas, balki katta paketlarni (500 bayt) olish:

# tcpdump -s 500

Paketdagi barcha bayt ma'lumotlarni yozib olish:

# tcpdump -s 0

"Og'ir paketlarni" ko'rish:

# tcpdump -nnvvXSs 1514

Ping va pong bilan ICMP paketlarini yozib olish:

# tcpdump -nnvXSs 0 -c2 icmp

Ko'p variantlarsiz xulosa:

# tcpdump -nS

Asosiy aloqalar (juda batafsil rejim), siz batafsil ma'lumot bilan yaxshi trafik miqdorini ko'rishingiz mumkin:

# tcpdump -nnvvS

Trafikni chuqurroq ko'rib chiqish, foydali yuk uchun -X qo'shish:

# tcpdump -nnvvXS

Og'ir paketni ko'rib chiqing va butun paketni ushlash orqali uzunlikni oshiring:

# tcpdump -nnvvXSs 1514

Shuningdek, siz paketning ma'lum qismlari asosida filtrlashingiz va bir nechta shartlarni guruhlarga birlashtirishingiz mumkin. Bu, masalan, faqat SYN yoki PCTni qidirishda, ikkinchisini esa yanada rivojlangan trafik izolyatsiyasi uchun foydalidir.

Menga barcha URGENT (URG) paketlarini ko'rsatish:

# tcpdump "tcp & 32! = 0"

Menga barcha ACKNOWLEDGE (ACK) paketlarini ko‘rsating:

# tcpdump "tcp & 16! = 0"

Menga barcha PUSH (PSH) paketlarini ko‘rsating:

# tcpdump "tcp & 8! = 0"

Menga barcha RESET (RST) paketlarini ko'rsatish:

# tcpdump "tcp & 4! = 0"

Menga barcha SYNCHRONIZE (SYN) paketlarini ko'rsating:

# tcpdump "tcp & 2! = 0"

Menga barcha FINISH (FIN) paketlarini ko‘rsating:

# tcpdump "tcp & 1! = 0"

Menga barcha SYNCHRONIZE / ACKNOWLEDGE (SYNACK) paketlarini ko'rsatish:

# tcpdump "tcp = 18"

Tcpflags yordamida TCP bayroqlarini yozib oling:

# tcpdump "tcp & & tcp-syn! = 0"

RST va SYN bayroqlari bo'lgan paketlar (tekshiring):

# tcpdump "tcp = 6"

"Evil Bit" trafik (tekshirish):

# tcpdump "ip & 128! = 0"

Bu mening "tcpdump-ni o'rnatish va ishlatish" maqolamni yakunlaydi, umid qilamanki, hamma narsa aniq va tushunarli.

Tcpdump yordam dasturi tarmoq paketlarini olish va tahlil qilish uchun juda kuchli va ommabop vositadir. U barcha kiruvchi va chiquvchi paketlarni ma'lum bir interfeysdan ko'rish imkonini beradi va buyruq satridan ishlaydi. Albatta, siz Wirshark-dan tarmoq paketlarini tahlil qilish uchun foydalanishingiz mumkin, bu grafik yordam dasturi, lekin ba'zida faqat terminalda ishlashingiz kerak bo'lgan holatlar mavjud.

Tcpdump Wireshark-dan yomon emas va paketlarni tahlil qilish uchun barcha kerakli imkoniyatlarga ega, bundan tashqari siz barcha olingan paketlarni faylga saqlashingiz va ularni keyinchalik bir xil Wireshark yordamida tahlil qilishingiz mumkin. Ushbu maqolada biz tarmoq paketlarini olish uchun tcpdump dan qanday foydalanishni ko'rib chiqamiz.

Ko'p tarqatishlar sukut bo'yicha tcpdump buyrug'i bilan birga keladi, lekin agar sizning tarqatishingiz bo'lmasa, uni rasmiy omborlardan osongina o'rnatishingiz mumkin. Masalan, Ubuntu / Debian -da:

sudo apt install tcpdum p

Fedora / Red Hat / CentOS-da:

sudo yum tcpdump-ni o'rnating

O'rnatish tugallangach, siz ishga kirishingiz mumkin.

Tcpdump buyrug'i

Yordamchi dastur bilan ishlash misollariga o'tishdan oldin, uning sintaksisini va asosiy variantlarini ko'rib chiqaylik. Buyruq quyidagi sintaksisga ega:

$ tcpdump options -i interfeys filtrlari

Qo'ng'iroq qilayotganda siz kuzatib boradigan interfeysni o'tkazishingiz shart. Agar interfeys ko'rsatilmagan bo'lsa, ro'yxatdagi birinchisi ishlatiladi. Variantlar yordamchi dasturning displeyini va asosiy funktsiyasini moslashtiradi va filtrlar keraksiz paketlarni filtrlash imkonini beradi. Endi asosiy variantlarni ko'rib chiqaylik:

• -A- barcha paketlarni ASCII formatida chiqarish;
• -c- paketlarning n-sonini tutib olgandan keyin dasturni yopish;
• -C- faylga paketlarni yozishda fayl hajmini tekshiring, agar u ko'rsatilganidan katta bo'lsa, yangi fayl yarating;
• -D- mavjud tarmoq interfeyslari ro'yxatini ko'rsatish;
• -e- har bir paket uchun ulanish darajasi ma'lumotlarini ko'rsatish, bu, masalan, MAC manzilini ko'rsatish uchun foydali bo'lishi mumkin;
• -f- IP -manzillar uchun domen nomini ko'rsatish;
• -F- paketlarni interfeysdan emas, balki fayldan o'qish;
• -G- belgilangan vaqtdan keyin yangi jurnal faylini yaratish;
• -H- 802.11s sarlavhalarini aniqlash;
• -i- paketlarni olish uchun interfeys nomi. Siz istalgan birini belgilash orqali barcha interfeyslardan paketlarni olishingiz mumkin;
• -Men- barcha o'tayotgan paketlarni olish uchun interfeysni monitor rejimiga o'tkazish;
• -j- paketlarni yozish uchun vaqt tamg'asi formatini o'rnatish;
• -J- mavjud vaqt tamg'asini ko'ring;
• -K- paketlarning nazorat summalarini tekshirmang;
• -l- chiqishga aylantirish yordamini qo'shing;
• -L- interfeys uchun qo'llab-quvvatlanadigan ulanish protokollarini ko'rsatish;
• -n- domen nomlarini ko'rsatmaslik;
• -r-w bilan yaratilgan fayldan paketlarni o'qish;
• -v, -vv, -vvv- batafsil chiqish;
• -q- minimal ma'lumotni ko'rsatish;
• -w- natijani faylga yozish;
• -Z- nomidan fayllar yaratiladigan foydalanuvchi.

Bu barcha variantlar emas, lekin ular sizga ko'p vazifalar uchun etarli bo'ladi. Ko'pincha biz filtrlarni qo'llaymiz. Filtrlardan foydalanib, siz faqat ko'rmoqchi bo'lgan paket turlarini filtrlashingiz mumkin. Siz IP -manzil, protokol, tarmoq, interfeys va boshqa ko'plab parametrlar bo'yicha filtrlashingiz mumkin. Ammo biz tcpdump filtrlarini misollar bilan ko'rib chiqamiz.

Tcpdump dan qanday foydalanish kerak

Tcpdump -ga o'tishdan oldin, siz qaysi tarmoq interfeyslaridan foydalanishingiz mumkinligini ko'rib chiqishingiz kerak. Buning uchun buyruqni -D opsiyasi bilan ishga tushiring:

Keling, eth0 interfeysida trafikni olish orqali tcpdump misollarini ko'rib chiqaylik, men uchun bu Internetga ulangan asosiy interfeys. Dastur ishlashi uchun superfoydalanuvchi huquqlari kerak, shuning uchun sudo-ni belgilashni unutmang:

sudo tcpdump -i eth0

Buyruqni to'xtatish uchun Ctrl + C tugmalarini bosing. Chiqishda siz barcha olingan paketlarni darhol ko'rasiz. Har bir paket uchun yozib olish formati quyidagicha ko'rinadi:

IP: 13: 03: 41.795599 udp032919uds.hawaiiantel.net.6881> 192.168.1.2.52055: Bayroqlar [.], Seq 640160396: 640161844, ack 436677393, win 2050, variantlar, uzunlik 1448

Ushbu format ma'lumotlar paketlari uchun odatiy bo'lib, protokolga qarab qora rangda belgilangan matn farqlanadi. Avval vaqt tamg'asi, so'ngra protokol keladi, keyin jo'natuvchining IP manzili yashil rangda va adresatning manzili ko'k rangda, bu holda bizning kompyuterimiz. Keyin qo'shimcha tcp parametrlari va oxirida baytlarda paket hajmi mavjud. Chiqishning aniqligini -v opsiyalari bilan boshqarish mumkin, Masalan:

sudo tcpdump -v -i eth0

Bu erda allaqachon IP protokoli haqida ma'lumot bor:

IP (tos 0x0, ttl 64, id 50309, ofset 0, bayroqlar, proto TCP (6), uzunlik 64)

Biz TTL paketining ishlash muddati, TCP versiyasi va sarlavha maydonining uzunligi haqida ma'lumot olishimiz mumkin. -vv opsiyasi ba'zi hollarda paketni tekshirish summasi va tarkibini chop etadi.

Variantlardan so'ng siz paketlar uchun filtrlarni belgilashingiz mumkin. Paketlarni filtrlashingiz mumkin bo'lgan asosiy parametrlar:

• mezbon- xost nomi;
• ip- IP-manzil;
• proto- protokol;
• to'r- tarmoq yoki pastki tarmoq manzili;
• port- port manzili;
• src- jo'natuvchiga tegishli parametr;
• dst- oluvchiga tegishli parametr;
• Quyidagi protokollar mavjud: efir, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp va udp.

Istalgan natijaga erishish uchun bularning barchasini bir-biringiz bilan birlashtira olasiz. Keling, misollarni batafsil ko'rib chiqaylik. Biz faqat kompyuterimizga yuborilgan paketlarni filtrlaymiz:

sudo tcpdump -i eth0 ip dst 192.168.1.2

Shuningdek, biz ma'lum bir tugunga yuborilgan paketlarni tanlashimiz mumkin:

sudo tcpdump -i eth0 dst host google-public-dns-a.google.com

Ko'rib turganingizdek, bu DNS paketlari va bu erda TCP bayroqlari o'rniga foydali ma'lumotlar, xostning IP-manziliga so'rov mavjud. Shuningdek, ma'lum bir xostdan javob paketlarini tanlashingiz mumkin:

sudo tcpdump -i eth0 src xost google-public-dns-a.google.com

Bu erda paketning to'liq tarkibi yo'q, agar siz uni olishni istasangiz, -v yoki -vv variantidan foydalanishingiz kerak:

sudo tcpdump -vv -i eth0 xost dst google-public-dns-a.google.com

and operatori yordamida siz bir nechta filtrlarni bitta filtrga birlashtira olasiz:

sudo tcpdump -i eth0 dst host google-public-dns-a.google.com va src host google-public-dns-a.google.com

Birlashtirish operatsiyalarida ham va ham mavjud, shuningdek, qavslar ustuvorlikni ko'rsatish uchun ishlatilishi mumkin. Xostni ko'rsatishning hojati yo'q, ko'p hollarda src yoki dst etarli, yordamchi dastur o'zi nimani anglatishini tushunadi. Xuddi shu dizayn portlar uchun ishlatilishi mumkin. Masalan, biz DNSga yuborilgan barcha so'rovlarni yoki javoblarni filtrlashimiz mumkin (53 -portda):

sudo tcpdump -vv -i eth0 port 53

Xuddi shu narsani http (port 80) uchun ham qilish mumkin:

sudo tcpdump -vv -i eth0 port 80

Tabiiyki, aniqroq natijalar uchun bu yerda dst va src dan ham foydalanishingiz mumkin. Siz bitta portni emas, balki butun portlarni filtrlashingiz mumkin:

sudo tcpdump portrange 21-23

Agar siz protokollardan birini belgilasangiz, siz ushbu protokolning faqat paketlarini filtrlaysiz, masalan, tcp, udp yoki arp:

sudo tcpdump -vv arp

Xuddi shunday, siz barcha udp paketlarini tanlashingiz mumkin:

sudo tcpdump -vv udp

Tarmoq nomiga ko'ra filtr ham mavjud:

sudo tcpdump net 129.168.1.1/24

Bundan tashqari, siz paketlarni hajmi bo'yicha filtrlashingiz mumkin, masalan, 32 baytdan kam:

sudo tcpdump 32 dan kam

Yoki 128 dan ortiq:

tcpdump 128 dan katta

sudo tcpdump -i eth0 -w file.pcap

Ushbu faylni bunday fayllarni o'qish uchun har qanday dastur bilan ochish mumkin, masalan, Wireshark. Faylga saqlangan paketlarni ochish uchun -r opsiyasidan foydalaning:

sudo tcpdump -r file.pcap

Yana bir narsaga e'tibor berishga arziydi. Bu paketlar tarkibini ko'rsatish formatidir. Siz paket tarkibini ASCII formatida -A opsiyasi yordamida ko'rsatishingiz mumkin:

sudo tcpdump -A -i eth0

Bundan tashqari, siz mazmunni HEX va ASCII formatida ko'rsatishingiz mumkin, buning uchun -XX dan foydalaning:

sudo tcpdump -XX -i eth0

xulosalar

Ushbu maqolada biz tcpdump dan qanday foydalanishni ko'rib chiqdik. Bu faqat buyruq satri orqali ishlaydigan juda kuchli tarmoq analizatori. Umid qilamanki, bu ma'lumot siz uchun foydali bo'ldi va endi tcpdump-dan foydalanish ancha oson bo'ladi, agar sizda hali ham savollaringiz bo'lsa, sharhlarda so'rang!

Tcpdump ma'ruza videosini yakunlash uchun:

tcpdump buyrug'i paketli sniffer deb ham ataladi.

tcpdump buyrug'i UNIX operatsion tizimining ko'pgina lazzatlarida ishlaydi. tcpdump bizga olingan paketlarni saqlashga imkon beradi, shunda biz olingan paketni keyingi tahlil uchun ishlatamiz. Saqlangan faylni bir xil tcpdump buyrug'i bilan ko'rish mumkin. tcpdump PCAP fayllarini o'qish uchun Wireshark kabi ochiq kodli dasturlardan ham foydalanishimiz mumkin.

Ushbu qo'llanmada biz tcpdump buyrug'ini ishlatish bo'yicha ba'zi amaliy misollarni ko'rib chiqamiz.

1. tcpdump -i yordamida ma'lum bir LAN interfeysidan paketlarni yozib olish

tcpdump-ni hech qanday variantsiz ishga tushirganda, u barcha interfeyslardan o'tadigan barcha paketlarni qamrab oladi. Variant -i tcpdump buyrug'i ma'lum bir chekilgan interfeysida filtrlash imkonini beradi.

$ tcpdump -i eth1 12: 59: 41.967250 ARP, Free.msk.ispsystem.net-ga kimning ega ekanligini so'rang gw.msk.ispsystem.net, uzunligi 46 12: 59: 41.967257 ARP, Request who-scoffserver.ru gw.msk.ispsystem.net ga ayting, uzunligi 46 12: 59: 41..44141> wdc-ns1.ispsystem.net.domain: 14799+ PTR? 184.48.146.82.in-addr.arpa. (44) ...

Ushbu misolda tcpdump eth1 interfeysidagi oqimning barcha paketlarini ushlaydi va ularni standart chiqishda ko'rsatadi.

Eslatma:

Editcap yordam dasturi dump faylidan ma'lum paketlarni tanlash yoki olib tashlash va ularni belgilangan formatga tarjima qilish uchun ishlatiladi.

2. Tcpdump -c bilan faqat N -sonli paketlarni oling

Tcpdump buyrug'ini ishga tushirganingizda, u tcpdump buyrug'ini bekor qilguningizcha sizga paketlarni beradi. Variantdan foydalanish -c qo'lga olish uchun paketlar sonini belgilashingiz mumkin.

$ tcpdump -c 2 -i eth0 eth0 da tinglash, havola turi EN10MB (Ethernet), suratga olish hajmi 65535 bayt 13: 01: 35.165898 ARP, kimda 213.159.211.80 borligini soʻrash, gw.msk.3 uzunligini ayting. : 01: 35..35123> wdc-ns1.ispsystem.net.domain: 7254+ PTR? 80.211.159.213.in-addr.arpa. (45) 2 paket tutib olindi 7 paket filtr orqali qabul qilindi 0 paket yadro tomonidan tushirildi

Tcpdump buyrug'i eth0 interfeysidan faqat 2 ta paketni oldi.

Eslatma:

Mergecap va TShark: Mergecap - bu bir nechta paketlarni bitta dump fayliga birlashtiradigan paketlarni birlashtirish vositasi. Tshark - bu tarmoq trafigini tahlil qilish uchun ishlatilishi mumkin bo'lgan kuchli tarmoq paketlarini yozib olish vositasi. U Wireshark Network Distribution Analyzer bilan birga keladi.

3. Tcpdump -a yordamida ASCIIda olingan paketlarni ko'rsatish

Quyidagi tcpdump sintaksisi paketni ASCII da chop etadi.

$ tcpdump -A -i eth0 13: 03: 06.516709 IP 213.132.93.178..vlsi-lm: Bayroqlar [.], ack 3120779210, g'alaba 254, uzunligi 0 E .. ( [elektron pochta himoyalangan]] ..... b ...%. = ... O.P ....... 13: 03: 06..35313> wdc-ns1.ispsystem.net.domain: 13562+ PTR? 178.93.132.213.in-addr.arpa. (45) [elektron pochta himoyalangan]@ ........ x ..... 5.5 [filtrlar]

Rasmiy hujjatlarda (man tcpdump buyrug'i) siz juda xilma-xil va murakkab filtrlardan foydalangan holda turli xil holatlarda ushbu yordam dasturidan foydalanishning bir nechta misollarini topishingiz mumkin.

Shuni ham ta'kidlash kerakki, tcpdump (va haqiqatan ham barcha paketli analizatorlar) o'z ishlashi davomida juda katta hajmdagi ma'lumotlarni yaratishi va tarmoqni jiddiy yuklashi mumkin, shu jumladan uning ishlashidagi nosozliklar. Shuning uchun, trafikni tahlil qilganda, siz ratsional yondashuvni ishlatishingiz kerak - vazifaning (yoki muammoning) holati va sharoitiga qarab, filtrlardan foydalaning, ayniqsa bu tcpdump funksiyasining juda samarali qismi.

Tcpdump -ni ishga tushirishda eng ko'p ishlatiladigan kalitlar jadvalda ko'rsatilgan

Tcpdump filtrlari

Filtrlar quyidagi tasniflarga bo'linadi

mezbon- xost manzili

port- paketlarni ushlamoqchi bo'lgan port

portrang - port diapazoni

to'r- tarmoq

Tcpdump net 192.168.0.0/24

192.168.0.0/24 tarmog'idagi manba yoki maqsad IP manzillari bo'lgan barcha trafikni olish

Tcpdump porti 80

80-portdagi barcha trafik ushlanadi.

Trafik yo'nalishi kuzatiladigan ob'ektga nisbatan

src- yuboruvchi

dst- oluvchi

masalan, buyruq

Src xost 172.31.25.200

Yuboruvchining IP manzili 172.31.25.200 bo'lgan trafikni yozib olish

Protokol

efir- asosiy tarmoq texnologiyasi Ethernet, odatda apparat MAC manzili filtrda ishlatilganligini ko'rsatadi

ip- IPv4 protokoli

ip6- IPv6 protokoli

arp- ARP protokoli

tcp- TCP protokoli

udp- UDP protokoli

Agar protokol ko'rsatilmagan bo'lsa, u holda barcha protokollar uchun trafik yozib olinadi

Masalan, buyruq

Udp port 5060

udp protokoli porti 5060 orqali trafikni yozib olish

Kompozit filtrlar

Trafikni yanada moslashuvchan filtrlash uchun siz mantiqiy operatsiyalardan foydalanishingiz mumkin

"Va" - va (&&)

"YOKI" - yoki (||)

"YO'Q" - emas (!) - qiymat inversiyasi

Bundan tashqari, ushbu operatsiyalarning ustuvorligi quyidagilardan iborat:

inversiya operatsiyasi eng yuqori ustuvorlikka ega

keyin mantiqiy "VA"

eng past ustuvorlik - OR operatsiyasi.

Qavslar yordamida operatsiyalarning ustuvorligini o'zgartirish mumkin.

(aniq 172.16.0.0/24 yoki xost 172.31.0.5) va tcp port 80

TCP trafigini yozib olish va 172.16.0.0/24 tarmog'iga yoki 172.31.0.5 xostiga tegishli bo'lgan 80-portdan har qanday xostga alohida yoki birgalikda foydalanish

(aniq 172.16.0.0/24 || xost 172.31.0.5) && tcp port 80 emas

TCP trafigidan tashqari har qanday trafikni ushlab turish va 172.16.0.0/24 tarmog'iga tegishli 80 -port yoki 172.31.0.5 -xostni yakka o'zi yoki birgalikda ishlatish

tcpdump linux misollar

Faylga chiqishni yozish

$ sudo tcpdump -w sshtrace.tcpdump tcp porti 22

Sshtrace.tcpdump fayli sukut bo'yicha joriy foydalanuvchining uy katalogida yaratiladi. myrouter.tcpdump faylidagi ma'lumotlarni ko'rsatish uchun -r opsiyasidan foydalaning:

$ tcpdump -r sshtrace.tcpdump

eth1 interfeysidan barcha trafikni olib tashlang

$ tcpdump –i eth1

eth1 interfeysidagi bir qator portlardan trafikni olib tashlang

$ tcpdump -i eth1 100-200 ni tashkil qiladi

barcha trafik ICMP emas 172.16.0.1 ga boradi.

Agar siz Linuxda tarmoq paketlarini tahlil qilishingiz yoki ushlab turishingiz kerak bo'lsa, buning uchun konsol yordam dasturidan foydalanish yaxshidir. tcpdump... Ammo muammo uning murakkab boshqaruvida paydo bo'ladi. Oddiy foydalanuvchi yordamchi dastur bilan ishlash noqulay deb o'ylaydi, ammo bu faqat birinchi qarashda. Maqolada sizga tcpdump qanday ishlashi, qanday sintaksis borligi, undan qanday foydalanish va undan foydalanishning ko'plab misollari keltirilgan.

Shuningdek o'qing: Ubuntu, Debian, Ubuntu serverlarida Internetga ulanishni o'rnatish bo'yicha qo'llanmalar

Ko'pgina Linux-ga asoslangan operatsion tizim ishlab chiquvchilari tcpdump yordam dasturini oldindan o'rnatilgan tarzda o'z ichiga oladi, ammo agar biron sababga ko'ra u sizning tarqatishingizda bo'lmasa, uni istalgan vaqtda yuklab olishingiz va o'rnatishingiz mumkin. "Terminal"... Agar sizning operatsion tizimingiz Debian-ga asoslangan bo'lsa va bu Ubuntu, Linux Mint, Kali Linux va shunga o'xshash bo'lsa, siz ushbu buyruqni bajarishingiz kerak:

sudo apt install tcpdump

O'rnatish paytida siz parolni kiritishingiz kerak. Yozayotganda u ko'rsatilmasligini unutmang, shuningdek, o'rnatishni tasdiqlash uchun belgini kiritishingiz kerak "D" va bosing Kirish.

Agar sizda Red Hat, Fedora yoki CentOS bo'lsa, o'rnatish buyrug'i quyidagicha ko'rinadi:

sudo yam tcpdump -ni o'rnating

Yordamchi dastur o'rnatilgandan so'ng uni darhol ishlatishingiz mumkin. Bu va yana ko'p narsalar matnda batafsil muhokama qilinadi.

Sintaksis

Boshqa har qanday buyruq singari, tcpdump ham o'z sintaksisiga ega. Buni bilib, siz buyruqni bajarishda hisobga olinadigan barcha kerakli parametrlarni o'rnatishingiz mumkin. Sintaksis quyidagicha:

tcpdump variantlari -i interfeys filtrlari

Buyruqdan foydalanganda, siz kuzatish uchun interfeysni aniq belgilashingiz kerak. Filtrlar va variantlar ixtiyoriy o'zgaruvchilardir, lekin ular yanada moslashuvchan sozlash imkonini beradi.

Variantlar

Variantni belgilashingiz shart bo'lmasa-da, siz hali ham mavjud bo'lganlarni ro'yxatlashingiz kerak. Jadvalda ularning to'liq ro'yxati emas, balki faqat eng mashhurlari ko'rsatilgan, ammo ular ko'pgina vazifalarni hal qilish uchun etarli.

Variantlarni ko'rib chiqqandan so'ng, biroz pastda biz to'g'ridan-to'g'ri ularning ilovalariga o'tamiz. Bu orada biz filtrlarni ko'rib chiqamiz.

Filtrlar

Ushbu maqolaning boshida aytib o'tilganidek, siz tcpdump sintaksisiga filtrlar qo'shishingiz mumkin. Endi ulardan eng mashhurlari ko'rib chiqiladi:

Yuqoridagi barcha filtrlar bir-biri bilan birlashtirilishi mumkin, shuning uchun buyruq berishda siz faqat ko'rmoqchi bo'lgan ma'lumotlarni kuzatasiz. Yuqoridagi filtrlardan foydalanishni batafsilroq tushunish uchun misollar keltirishga arziydi.

Foydalanishga misollar

Tez-tez ishlatiladigan tcpdump sintaksisi o'zgarishlari endi taqdim etiladi. Ularning barchasini sanab bo'lmaydi, chunki ularning o'zgarishi cheksiz ko'p bo'lishi mumkin.

Interfeyslar ro'yxatini ko'rish

Har bir foydalanuvchi dastlab kuzatilishi mumkin bo'lgan barcha tarmoq interfeyslari ro'yxatini tekshirish tavsiya etiladi. Yuqoridagi jadvaldan biz variantni ishlatishni bilamiz -D shuning uchun terminalda quyidagi buyruqni bajaring:

Ko'rib turganingizdek, misolda tcpdump buyrug'i yordamida ko'rish mumkin bo'lgan sakkizta interfeys mavjud. Maqolada misollar keltiriladi ppp0, siz boshqa har qanday foydalanishingiz mumkin.

Oddiy trafikni suratga olish

Agar siz bitta tarmoq interfeysini kuzatishingiz kerak bo'lsa, buni opsiyadan foydalanib qilishingiz mumkin -i... Kiritgandan so'ng interfeys nomini ko'rsatishni unutmang. Mana shunday buyruqni bajarishga misol:

sudo tcpdump -i ppp0

Iltimos, diqqat qiling: buyruqning o'zidan oldin siz "sudo" ni kiritishingiz kerak, chunki u super foydalanuvchi huquqlarini talab qiladi.

Eslatma: Enter tugmasini bosgandan so'ng, ushlangan paketlar "Terminal" da doimiy ravishda ko'rsatiladi. Ularning oqimini to'xtatish uchun siz Ctrl + C tugmalar birikmasini bosishingiz kerak.

Agar siz buyruqni qo'shimcha parametrlar va filtrlarsiz ishlatsangiz, kuzatiladigan paketlarni ko'rsatish uchun quyidagi formatni ko'rasiz:

22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Bayroqlar, ketma-ket 1: 595, ack 1118, win 6494, variantlar, uzunlik 594

Rang ta'kidlangan joyda:

• ko'k - paketni qabul qilish vaqti;
• yashil - yuboruvchining manzili;
• binafsha rang - oluvchining manzili;
• kulrang - tcp haqida qo'shimcha ma'lumot;
• qizil - paket hajmi (baytlarda ko'rsatiladi).

Bu sintaksis oynada chiqarish imkoniyatiga ega "Terminal" qo'shimcha variantlardan foydalanmasdan.

-V opsiyasi yordamida trafikni yozib olish

Jadvaldan bilganingizdek, variant -v axborot hajmini oshirish imkonini beradi. Keling, misol keltiraylik. Keling, bir xil interfeysni tekshiramiz:

sudo tcpdump -v -i ppp0

Bu erda siz chiqishda quyidagi qator paydo bo'lishini ko'rishingiz mumkin:

IP (tos 0x0, ttl 58, id 30675, ofset 0, bayroqlar, proto TCP (6), uzunligi 52

Rang ta'kidlangan joyda:

• apelsin - protokol versiyasi;
• ko'k - protokolning ishlash muddati;
• yashil - maydon sarlavhasining uzunligi;
• binafsha rang - tcp paketi versiyasi;
• qizil - paket hajmi.

Bundan tashqari, buyruq sintaksisida siz variantni yozishingiz mumkin -vv yoki -vvv, bu esa ekranda ko'rsatiladigan ma'lumotlar miqdorini yanada oshiradi.

-w va -r variantlari

Variantlar jadvali barcha chiqish ma'lumotlarini keyinroq ko'rishingiz uchun alohida faylga saqlash imkoniyatini eslatib o'tdi. Variant bu uchun javobgardir. -w... Uni ishlatish juda oddiy, uni buyruqda ko'rsating va keyin kengaytmali kelajakdagi fayl nomini kiriting. ".Pcap"... Keling, hamma narsani misol bilan ko'rib chiqaylik:

sudo tcpdump -i ppp0 -w file.pcap

E'tibor bering: faylga jurnal yozish paytida terminal ekranida hech qanday matn ko'rsatilmaydi.

Yozib olingan chiqishni ko'rishni xohlasangiz, variantni ishlatishingiz kerak -r, undan keyin avval yozilgan fayl nomini yozing. U boshqa variantlar va filtrlarsiz qo'llaniladi:

sudo tcpdump -r file.pcap

Keyinchalik tahlil qilish uchun katta hajmdagi matnni saqlash zarur bo'lganda, bu ikkala variant ham juda yaxshi.

IP filtrlash

Biz buni filtr jadvalidan bilamiz dst konsol ekraniga faqat buyruqlar sintaksisida ko'rsatilgan manzil orqali olingan paketlarni ko'rsatishga imkon beradi. Bu sizning kompyuteringiz qabul qilgan paketlarni ko'rishni juda qulay qiladi. Buni amalga oshirish uchun buyruqda IP manzilingizni ko'rsatish kifoya:

sudo tcpdump -i ppp0 ip dst 10.0.6.67

Ko'rib turganingizdek, bundan tashqari dst, buyruqda biz filtrni ham qo'shdik ip... Boshqacha qilib aytganda, biz kompyuterga paketlarni tanlashda boshqa parametrlarga emas, balki ularning IP-manziliga e'tibor berishni aytdik.

Shuningdek, chiquvchi paketlarni IP bo'yicha filtrlashingiz mumkin. Masalan, biz yana IP -manzilimizni beramiz. Ya'ni, endi biz qaysi paketlar kompyuterimizdan boshqa manzillarga yuborilishini kuzatib boramiz. Buning uchun quyidagi buyruqni bajaring:

sudo tcpdump -i ppp0 ip src 10.0.6.67

Ko'rib turganingizdek, buyruq sintaksisida biz filtrni o'zgartirdik dst yoqilgan src, shu bilan mashinaga jo'natuvchini IP orqali qidirishni aytadi.

HOST tomonidan filtrlash

Buyruqdagi IP -ga o'xshab, biz filtrni ko'rsatishimiz mumkin mezbon qiziqtirgan uy egasi bilan paketlarni filtrlash. Ya'ni, sintaksisda jo'natuvchi / qabul qiluvchining IP manzili o'rniga siz uning xostini ko'rsatishingiz kerak bo'ladi. Bu shunday ko'rinadi:

sudo tcpdump -i ppp0 dst xost google-public-dns-a.google.com

Rasm shuni ko'rsatadiki "Terminal" faqat bizning IP manzilimizdan google.com xostiga yuborilgan paketlar ko'rsatiladi. Siz tushunganingizdek, google xosti o'rniga boshqa istalgan manzilni kiritishingiz mumkin.

IP filtrlashda bo'lgani kabi, sintaksisda dst bilan almashtirilishi mumkin src Kompyuteringizga yuborilayotgan paketlarni ko'rish uchun:

sudo tcpdump -i ppp0 src xost google-public-dns-a.google.com

Iltimos, diqqat qiling: xost filtri dst yoki src dan keyin kelishi kerak, aks holda buyruq xatolik hosil qiladi. IP -filtrlashda, aksincha, dst va src ip -filtrdan oldin keladi.

va va yoki filtrini qo'llash

Agar bitta buyruqda bir vaqtning o'zida bir nechta filtrlardan foydalanish kerak bo'lsa, buning uchun siz filtrni qo'llashingiz kerak va yoki yoki(holatga bog'liq). Sintaksisda filtrlarni ko'rsatish va ularni ushbu operatorlar bilan ajratish orqali siz ularni birdek "ishlatadi". Masalan, u quyidagicha ko'rinadi:

sudo tcpdump -i ppp0 ip dst 95.47.144.254 yoki ip src 95.47.144.254

Buyruqlar sintaksisidan biz ekranda nimani ko'rsatmoqchi ekanligimizni ko'rishingiz mumkin "Terminal" 95.47.144.254 manziliga yuborilgan barcha paketlar va bir xil manzilda qabul qilingan paketlar. Shuningdek, ushbu ifodadagi ba'zi o'zgaruvchilarni o'zgartirishingiz mumkin. Misol uchun, IP o'rniga, HOST ni belgilang yoki manzillarni o'zi almashtiring.

Port va portranj filtri

Filtr port ma'lum bir portga ega paketlar haqida ma'lumot olishingiz kerak bo'lganda juda yaxshi. Shunday qilib, agar siz faqat javoblar yoki DNS so'rovlarini ko'rishingiz kerak bo'lsa, 53-portni ko'rsatishingiz kerak:

sudo tcpdump -vv -i ppp0 port 53

Agar http paketlarini ko'rmoqchi bo'lsangiz, 80-portni kiritishingiz kerak:

sudo tcpdump -vv -i ppp0 port 80

Boshqa narsalar qatorida, bir vaqtning o'zida portlar oralig'ini kuzatish mumkin. Buning uchun filtr qo'llaniladi portrange:

sudo tcpdump portrange 50-80

Ko'rib turganingizdek, filtr bilan birgalikda portrange qo'shimcha variantlarni belgilash shart emas. Siz shunchaki diapazonni o'rnatishingiz kerak.

Protokol bo'yicha filtrlash

Bundan tashqari, faqat protokolga mos keladigan trafikni ko'rsatishingiz mumkin. Buning uchun filtr sifatida ushbu protokolning nomini ishlatishingiz kerak. Keling, bir misolni ko'rib chiqaylik udp:

sudo tcpdump -vvv -i ppp0 udp

Rasmda ko'rib turganingizdek, buyruqni bajarganingizdan so'ng "Terminal" faqat protokolli paketlar ko'rsatiladi udp... Shunga ko'ra, siz boshqalar tomonidan filtrlashingiz mumkin, masalan, arp:

sudo tcpdump -vvv -i ppp0 arp

yoki tcp:

sudo tcpdump -vvv -i ppp0 tcp

Filtr tarmog'i

Operator to'r paketlarni tarmoq nomiga qarab filtrlashda yordam beradi. Uni ishlatish boshqalar kabi oson - sintaksisdagi atributni ko'rsatishingiz kerak to'r va keyin tarmoq manzilini kiriting. Mana shunday buyruqning misoli:

sudo tcpdump -i ppp0 net 192.168.1.1

Paket hajmi bo'yicha filtrlang

Biz yana ikkita qiziqarli filtrni qamrab olmadik: Kamroq va kattaroq... Filtrlar bilan jadvaldan bilamizki, ular ma'lumotlar paketlarini ko'proq chiqarishga xizmat qiladi ( Kamroq) yoki kamroq ( kattaroq) atribut kiritilgandan keyin belgilangan hajmda.

Aytaylik, biz faqat 50 bitli belgidan oshmaydigan paketlarni kuzatishni xohlaymiz, keyin buyruq quyidagicha ko'rinadi:

sudo tcpdump -i ppp0 50 dan kam

Endi xaritaga o'tamiz "Terminal" 50 bitdan katta paketlar:

sudo tcpdump -i ppp0 50 dan katta

Ko'rib turganingizdek, ular xuddi shu tarzda qo'llaniladi, farq faqat filtr nomida.

Xulosa

Maqolaning oxirida biz buyruq degan xulosaga kelishimiz mumkin tcpdump Internet orqali uzatiladigan har qanday ma'lumotlar paketini kuzatib borish mumkin bo'lgan ajoyib vosita. Ammo buning uchun faqat buyruqning o'zini kiritish etarli emas "Terminal"... Agar siz barcha turdagi variantlar va filtrlardan, shuningdek ularning kombinatsiyalaridan foydalansangizgina kerakli natijaga erishishingiz mumkin.