Како се користи тцпдумп и 6 примера

Како се користи тцпдумп и 6 примера

Покушавате ли ухватити пакете података како бисте анализирали промет на вашој мрежи? Можда сте администратор сервера који је наишао на проблем и жели да надгледа пренесене податке на мрежи. Без обзира на ситуацију, помоћни програм тцпдумп Линук је оно што вам треба.





У овом чланку ћемо детаљно размотрити наредбу тцпдумп, заједно са неким водичима о томе како инсталирати и користити тцпдумп на вашем Линук систему.



Шта је команда тцпдумп?

Тцпдумп је моћан алат за надгледање мреже који омогућава кориснику да ефикасно филтрира пакете и саобраћај на мрежи. Можете добити детаљне информације у вези са ТЦП/ИП и пакетима који се преносе на вашој мрежи. Тцпдумп је услужни програм из командне линије, што значи да га можете покренути на Линук серверима без екрана.





Системски администратори такође могу интегрисати услужни програм тцпдумп са црон у циљу аутоматизације различитих задатака, као што је евидентирање. Будући да га бројне функције чине прилично свестраним, тцпдумп ради и као алат за решавање проблема, али и као сигурносни алат.

Како инсталирати тцпдумп на Линук

Иако ћете већину времена пронаћи тцпдумп унапред инсталиран на вашем систему, неке Линук дистрибуције се не испоручују са пакетом. Због тога ћете можда морати ручно да инсталирате услужни програм на свој систем.



Можете проверити да ли је тцпдумп инсталиран на вашем систему помоћу која команда.

which tcpdump

Ако излаз приказује путању директоријума ( /уср/бин/тцпдумп ), онда је на вашем систему инсталиран пакет. Међутим, ако не, можете то учинити лако помоћу подразумеваног менаџера пакета на вашем систему.



Да бисте инсталирали тцпдумп на дистрибуције засноване на Дебиану, као што је Убунту:

sudo apt-get install tcpdump

Лако је инсталирати и тцпдумп на ЦентОС.



sudo yum install tcpdump

О дистрибуцијама заснованим на Арцх-у:

sudo pacman -S tcpdump

Да бисте инсталирали на Федору:

sudo dnf install tcpdump

Имајте на уму да пакет тцпдумп захтева либцап као зависност, па га обавезно инсталирајте и на свој систем.

Тцпдумп примери за хватање мрежних пакета на Линук -у

Сада када сте успешно инсталирали тцпдумп на своју Линук машину, време је да надгледате неке пакете. Пошто тцпдумп захтева дозволе суперкорисника за извршавање већине операција, мораћете да додате судо на ваше команде.

1. Наведите све мрежне интерфејсе

Да бисте проверили који су мрежни интерфејси доступни за снимање, користите заставица командом тцпдумп.

tcpdump -D

Пролазећи --лист-интерфејси заставица као аргумент ће вратити исти излаз.

tcpdump --list-interfaces

Резултат ће бити листа свих мрежних интерфејса који су присутни на вашем систему.

Након што сте добили листу мрежних интерфејса, време је да надгледате своју мрежу хватањем пакета на вашем систему. Иако можете да наведете које интерфејс желите да користите, било који аргумент команде тцпдумп хвата мрежне пакете користећи било који активни интерфејс.

tcpdump --interface any

Систем ће приказати следећи излаз.

паге_фаулт_ин_нонпагед_ареа виндовс 10

Повезан: Шта је модел повезивања отворених система?

2. Излазни формат тцпдумп

Почевши од треће линије, свака линија излаза означава одређени пакет који је ухваћен од стране тцпдумп. Ево како изгледа излаз једног пакета.

17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33

Имајте на уму да нису сви пакети снимљени на овај начин, али ово је општи формат који следи већина њих.

Излаз садржи следеће информације.

  1. Временска ознака примљеног пакета
  2. Назив интерфејса
  3. Ток пакета
  4. Назив мрежног протокола
  5. ИП адреса и детаљи порта
  6. ТЦП заставице
  7. Редни број података у пакету
  8. Ацк дата
  9. Величина прозора
  10. Дужина пакета

Прво поље ( 17: 00: 25,369138 ) приказује временску ознаку када је ваш систем послао или примио пакет. Снимљено време се издваја из локалног времена вашег система.

како пуштати музику преко блуетоотха у аутомобилу андроид

Друго и треће поље означавају коришћени интерфејс и ток пакета. У горњем одломку, влп0с20ф3 је назив бежичног интерфејса и Оут је ток пакета.

Четврто поље укључује информације везане за назив мрежног протокола. Генерално ћете пронаћи два протокола- ИП и ИП6 , где ИП означава ИПВ4, а ИП6 је за ИПВ6.

Следеће поље садржи ИП адресе или назив изворног и одредишног система. Након ИП адреса следи број порта.

Шесто поље у излазу састоји се од ТЦП заставица. Постоје различите заставице које се користе у излазу тцпдумп.

Назив заставицеВредностОпис
СИГХТСВеза је започела
КРАЈФ.Веза је завршена
ПУСХППодаци се гурају
РСТРВеза је ресетована
АЛАС.Признање

Излаз такође може садржати комбинацију неколико ТЦП заставица. На пример, ЗАСТАВА [ф.] означава пакет ФИН-АЦК.

Идемо даље у излазном исечку, следеће поље садржи редни број ( сек 196: 568 ) података у пакету. Први пакет увек има позитивну целобројну вредност, а следећи пакети користе релативни редни број за побољшање протока података.

Следеће поље садржи број потврде ( ацк 1 ), или једноставан Ацк број. Пакет снимљен у пошиљаочевој машини има 1 као број потврде. На крају пријемника, број Ацк је вредност следећег пакета.

Девето поље у излазу одговара величини прозора ( победи 309 ), што је број бајтова доступних у пријемном баферу. Постоји још неколико поља која прате величину прозора, укључујући максималну величину сегмента (МСС).

Последње поље ( дужина 33 ) садржи дужину укупног пакета обухваћеног тцпдумп -ом.

3. Ограничите број заробљених пакета

Док први пут покрећете команду тцпдумп, можда ћете приметити да систем наставља да хвата мрежне пакете све док не прођете сигнал прекида. Ово подразумевано понашање можете надјачати тако што ћете претходно навести број пакета које желите да снимите помоћу застава.

tcpdump --interface any -c 10

Поменута команда ће ухватити десет пакета са било ког активног мрежног интерфејса.

4. Филтрирајте пакете на основу поља

Када решавате проблем, добијање великог блока текста на терминалу не олакшава посао. Ту долази до изражаја функција филтрирања у тцпдумп -у. Пакете можете филтрирати према различитим пољима, укључујући хост, протокол, број порта и друго.

Да бисте снимили само ТЦП пакете, откуцајте:

tcpdump --interface any -c 5 tcp

Слично, ако желите да филтрирате излаз помоћу броја порта:

tcpdump --interface any -c 5 port 50

Горе поменута команда ће дохватити само пакете који се преносе преко наведеног порта.

Да бисте добили податке о пакету за одређени хост:

tcpdump --interface any -c 5 host 112.123.13.145

Ако желите да филтрирате пакете које шаље или прима одређени домаћин, користите срц или итд аргумент са командом.

tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145

Такође можете користити логичке операторе и и или да комбинују два или више израза заједно. На пример, да бисте добили пакете који припадају изворној ИП адреси 112.123.13.145 и користите порт 80 :

tcpdump --interface any -c 10 src 112.123.13.145 and port 80

Сложени изрази се могу груписати заједно помоћу заграде као што следи:

tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'

5. Погледајте садржај пакета

Можете користити -ДО и -Икс заставице са командом тцпдумп за анализу садржаја мрежног пакета. Тхе -ДО застава означава АСЦИИ формат и -Икс Означава хексадецимални формат.

Да бисте видели садржај следећег мрежног пакета који је систем ухватио:

tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x

Повезано: Шта је губитак пакета и како отклонити његов узрок?

6. Сачувајте податке за снимање у датотеку

Ако желите да сачувате податке о снимању у референтне сврхе, тцпдумп је ту да вам помогне. Само проследите -ин заставица са подразумеваном командом за испис резултата у датотеку уместо приказивања на екрану.

tcpdump --interface any -c 10 -w data.pcap

Тхе .пцап наставак датотеке значи хватање пакета података. Такође можете издати горе поменуту команду у детаљном режиму помоћу застава.

tcpdump --interface any -c 10 -w data.pcap -v

За читање а .пцап датотеку користећи тцпдумп, користите заставица иза које следи путања датотеке. Тхе означава читати .

најбоља употреба за малину пи 3
tcpdump -r data.pcap

Такође можете филтрирати мрежне пакете из пакетних података сачуваних у датотеци.

tcpdump -r data.pcap port 80

Праћење мрежног саобраћаја на Линук -у

Ако вам је додељен задатак администрирања Линук сервера, онда је наредба тцпдумп одличан алат за укључивање у ваш арсенал. Проблеме везане за мрежу можете лако решити хватањем пакета који се преносе на вашој мрежи у реалном времену.

Али пре свега, ваш уређај мора бити повезан на интернет. За почетнике Линука, чак и повезивање са Ви-Фи-јем преко командне линије може бити помало изазовно. Али ако користите праве алате, то је једноставно.

Објави Објави Твеет Емаил Како се повезати на Ви-Фи путем Линук терминала помоћу Нмцли-ја

Желите да се повежете на Ви-Фи мрежу преко Линук командне линије? Ево шта треба да знате о команди нмцли.

Прочитајте следеће Повезане теме
  • Линук
  • Сигурност
  • Мрежна форензика
О аутору Деепесх Схарма(Објављено 79 чланака)

Деепесх је млађи уредник за Линук у МУО. Он пише информативне водиче за Линук, с циљем да свим новопридошлим пружи блажено искуство. Нисам сигуран у филмове, али ако желите да разговарате о технологији, он је ваш момак. У слободно време можете га пронаћи како чита књиге, слуша различите музичке жанрове или свира гитару.

Више од Деепесх Схарма

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, критике, бесплатне е -књиге и ексклузивне понуде!

Кликните овде да бисте се претплатили