Si ou bezwen analize oswa segman aks dèzè pake rezo nan Linux, Lè sa a, li pi bon yo sèvi ak yon sèvis piblik konsole tcpdump. Men, pwoblèm nan rive nan jesyon olye konplike li yo. Li pral sanble itilizatè a mwayèn ki ap travay ak sèvis piblik la se konvenyan, men sa a se sèlman nan premye gade. Atik la pral eksplike ki jan tchpdump ap travay, ki sentaks li gen, ki jan yo sèvi ak li, ak anpil egzanp sou itilizasyon li yo pral bay.
Gade tou: Gid pou mete kanpe yon koneksyon entènèt nan Ubuntu, Debian, Ubuntu sèvè
Enstalasyon
Pifò devlopè nan sistèm operasyon ki baze sou Linux gen ladan itilite a tcpdump nan lis la nan sa yo enstalé pre, men si pou kèk rezon li pa nan distribisyon ou, ou ka toujou download yo ak enstale li nan ... "Tèminal". Si se eksplwatasyon ou ki baze sou dbyan, ak sa yo se Ubuntu, Linux Mint, Kali Linux ak renmen an, ou bezwen kouri lòd sa a:
sudo jis enstale tcpdump
Lè w ap enstale, ou bezwen antre nan yon modpas. Tanpri note ke lè konpoze, li pa parèt, tou konfime anviwònman an ou bezwen antre nan karaktè la D epi klike sou Antre.
Si ou gen Red Hat, Fedora oswa CentOS, Lè sa a, lòd la enstalasyon ap gade tankou sa a:
sudo yam enstale tcpdump
Apre yo fin sèvis piblik la enstale, li ka itilize imedyatman. Sa a ak plis ankò yo pral diskite pita nan tèks la.
Gade tou: Gid Enstalasyon PHP sou sèvè Ubuntu
Sentaks
Tankou nenpòt ki lòt lòd, tcpdump gen sentaks pwòp li yo. Lè ou konnen l ', ou ka mete tout paramèt ki nesesè yo ke yo pral pran an kont lè egzekite lòd la. Sentaks la se jan sa a:
opsyon tcpdump -i filtè koòdone
Lè w ap itilize lòd la, ou dwe presize koòdone a pou swiv. Filtè ak opsyon yo se varyab si ou vle, men yo pèmèt pou personnalisation pi fleksib.
Opsyon
Malgre ke li pa nesesè pou endike yon opsyon, ou toujou bezwen mete lis disponib. Tab la pa montre lis tout yo, men se sèlman yo menm ki pi popilè yo, men yo pi plis pase ase yo rezoud pi fò nan travay yo.
| Opsyon | Definisyon |
|---|---|
| -A | Pèmèt ou sòt pakè ak ASCII fòma |
| -L | Ajoute yon fonksyon woulo liv. |
| -i | Apre k ap antre nan, ou bezwen presize koòdone nan rezo ki pral kontwole. Pou kòmanse kontwole tout interfaces, antre nan mo "nenpòt ki" apre opsyon an |
| -c | Fen pwosesis la swiv apre tcheke nimewo ki espesifye nan pakè |
| -w | Jenere yon dosye tèks ak yon rapò verifikasyon |
| -e | Montre done koneksyon entènèt nivo koneksyon |
| -L | Montre sèlman sa yo pwotokòl ke entèfas rezo espesifye a sipòte. |
| -C | Kreye yon lòt dosye pandan anrejistreman pake si gwosè li pi gwo pase espesifye |
| -r | Louvri yon dosye li ki te kreye lè l sèvi avèk -w opsyon an |
| -j | Ap fòma TimeStamp dwe itilize nan dosye pakè |
| -J | Pèmèt ou wè tout fòma TimeStamp ki disponib |
| -G | Sèvi yo kreye yon dosye log. Opsyon an egzije tou pou yon valè tanporè, apre yo fin ki yon nouvo boutèy demi lit yo pral kreye |
| -v, -vv, -vvv | Tou depan de ki kantite karaktè nan opsyon an, pwodiksyon an nan lòd la ap vin pi detaye (ogmantasyon an se pwopòsyonèl dirèkteman avèk kantite karaktè). |
| -f | Pwodiksyon an montre non an domèn nan adrès IP |
| -F | Pèmèt li enfòmasyon pa soti nan koòdone nan rezo a, men soti nan dosye a espesifye |
| -D | Demontre tout rezo entèfas ki ka itilize. |
| -n | Dezaktive ekspozisyon non domèn yo |
| -Z | Espesifye itilizatè a anba ki gen kont tout dosye yo pral kreye. |
| -K | Sote Analiz Chèk la |
| -q | Rezime Ekspozisyon an |
| -H | Detekte Tèt 802.11s |
| -I | Itilize lè kaptire pakè nan mòd pou kontwole |
Èske w gen egzamine opsyon ki disponib nan, yon ti kras pi ba nou pral ale dirèkteman nan aplikasyon yo. Antretan, filtè yo pral konsidere.
Filtè yo
Jan sa endike nan kòmansman trè atik la, ou ka ajoute filtè nan sintaks la tcpdump. Koulye a, ki pi popilè a nan yo ap konsidere:
| Filtre | Definisyon |
|---|---|
| lame | Espesifye non lame a |
| nèt | Endike subnets IP ak rezo |
| ip | Espesifye adrès pwotokòl la |
| src | Montre pake ki te voye soti nan adrès ki espesifye |
| dst | Montre pake ki te resevwa pa adrès la espesifye |
| arp, udp, tcp | Filtraj pa youn nan pwotokòl yo |
| pò | Montre enfòmasyon ki gen rapò ak yon pò espesifik |
| epi, oswa | Konbine plizyè filtè nan yon lòd. |
| mwens pi gwo | Pake Sòti ki pi piti oswa pi gwo pase gwosè ki espesifye |
Tout filtè ki anwo yo ka konbine youn ak lòt, se konsa nan emisyon nan lòd la ou pral sèlman wè enfòmasyon ki ke ou vle wè. Pou konprann nan plis detay itilize filtè ki anwo yo, li vo bay egzanp.
Gade tou: Kòmandman Souvan yo itilize nan Tèminal Linux
Egzanp Itilizasyon
Opsyon yo itilize souvan sentaks pou lòd la tcpdump pral kounye a ka montre. Tout moun nan yo pa ka ki nan lis, depi ka gen yon nonb infini nan varyasyon yo.
Wè yon lis interfaces
Li rekòmande ke chak itilizatè okòmansman tcheke lis la nan tout rezo l 'interfaces ki ka Suivi. Soti nan tablo ki anwo a nou konnen ke pou sa a ou bezwen sèvi ak opsyon an -D, se konsa nan tèminal la, kouri lòd sa a:
sudo tcpdump -D
Yon egzanp:
Kòm ou ka wè, egzanp lan gen uit interfaces ki ka wè lè l sèvi avèk lòd la tcpdump. Atik la pral bay egzanp ak ppp0Ou ka itilize nenpòt ki lòt.
Nòmal kaptire trafik la
Si ou bezwen swiv yon koòdone rezo a, ou ka fè sa lè l sèvi avèk opsyon an -i. Pa bliye antre nan non koòdone a apre w fin antre nan li. Isit la se yon egzanp tout moun ki tankou yon lòd:
sudo tcpdump -i ppp0
Tanpri sonje: anvan lòd la ou bezwen antre nan "sudo", depi li egzije dwa super-itilizatè.
Yon egzanp:
Remak: apre ou fin peze Antre nan "Tèminal la", pake entèsepte yo pral parèt kontinyèlman. Pou sispann koule yo, ou bezwen peze konbinezon kle a Ctrl + C.
Si ou siyen lòd la san yo pa opsyon adisyonèl ak filtè, ou pral wè fòma ki anba la a pou montre pakè kontwole:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Drapo [P.], seq 1: 595, ack 1118, genyen 6494, opsyon [nop, nop, TS val 257060077 ecr 697597623], longè 594
Kote koulè a make:
- ble - tan nan resi pake a;
- zoranj - vèsyon pwotokòl;
- vèt - adrès moun k la;
- vyolèt - adrès moun k ap resevwa a;
- gri - plis enfòmasyon sou tcp;
- wouj - gwosè pake (parèt nan bytes).
Sentaks sa a gen kapasite nan montre nan yon fenèt. "Tèminal" san ou pa itilize lòt opsyon.
Trafik kaptire ak opsyon -v la
Kòm se li te ye nan tablo a, opsyon an -v pèmèt ou ogmante kantite enfòmasyon. Ann pran yon egzanp. Tcheke koòdone nan menm:
sudo tcpdump -v -i ppp0
Yon egzanp:
Isit la ou ka wè ke liy sa a parèt nan pwodiksyon an:
IP (tos 0x0, ttl 58, id 30675, konpanse 0, drapo [DF], proto TCP (6), longè 52
Kote koulè a make:
- zoranj - vèsyon pwotokòl;
- ble - pwotokòl validite;
- vèt - longè header jaden an;
- koulè wouj violèt - vèsyon tchp pake;
- wouj - gwosè pake.
Tou nan sentaks la lòd ou ka ekri yon opsyon -vv oswa -vvv, ki pral pli lwen ogmante kantite enfòmasyon ki parèt sou ekran an.
Opsyon -w ak -r
Tab opsyon yo mansyone kapasite a pou konsève pou tout pwodiksyon an nan yon dosye apa pou ke ou ka wè li pita. Opsyon sa a responsab pou sa. -w. Sèvi ak li se byen senp, jis presize li nan lòd la, ak Lè sa a, antre nan non an nan dosye a nan lavni ak ekstansyon an ".pcap". Ann gade yon egzanp:
sudo tcpdump -i ppp0 -w file.pcap
Yon egzanp:
Tanpri sonje: pandan y ap ekri mòso bwa nan yon dosye, pa gen okenn tèks parèt sou "Tèminal" ekran an.
Lè ou vle wè pwodiksyon an anrejistre, ou dwe itilize opsyon an -r, apre yo fin ki ekri non an nan dosye a deja anrejistre. Li itilize san lòt opsyon ak filtè:
sudo tcpdump -r file.pcap
Yon egzanp:
Tou de nan opsyon sa yo se gwo nan ka kote ou bezwen sove gwo kantite tèks pou pita analiz.
IP Filtraj
Soti nan tab la filtre nou konnen sa dst pèmèt ou montre sou ekran an konsole sèlman sa yo pakè ki te resevwa pa adrès la ki se espesifye nan sentaks la lòd. Se konsa, li trè pratik yo wè pakè yo resevwa pa òdinatè w lan. Pou fè sa, ekip la sèlman bezwen presize adrès IP li yo:
sudo tcpdump -i ppp0 IP dst 10.0.6.67
Yon egzanp:
Kòm ou ka wè, san konte dst, nou menm tou nou anrejistre yon filtre nan ekip la ip. Nan lòt mo, nou te di òdinatè a ke lè chwazi pakè li ta peye atansyon sou adrès IP yo, epi yo pa nan lòt paramèt.
Pa IP, ou ka tou filtre pakè sortan. Nou pral bay IP nou an ankò nan egzanp lan. Sa vle di, kounye a nou pral swiv ki pake yo voye soti nan òdinatè nou an nan lòt adrès. Pou fè sa, kouri lòd sa a:
sudo tcpdump -i ppp0 src ip 10.0.6.67
Yon egzanp:
Kòm ou ka wè, nan sentaks la lòd nou chanje filtre la dst sou src, kidonk di machin nan pou chèche yon moun k ap pase sou IP.
HOST Filtraj
Pa analoji ak IP nan lòd la, nou ka presize yon filtre lamefiltre pake ak lame a nan enterè. Sa se, nan sentaks la, olye pou yo adrès la IP nan moun k la / reseptè, w ap bezwen presize lame li yo. Li sanble tankou sa a:
sudo tcpdump -i ppp0 dst lame google-public-dns-a.google.com
Yon egzanp:
Nan imaj la ou ka wè ke nan "Tèminal" se sèlman sa yo pake ki te voye soti nan IP nou an ale Google.com yo ap parèt. Kòm ou ka konprann, olye pou yo lame a google, ou ka antre nan nenpòt ki lòt.
Menm jan ak filtraj IP, sentaks la dst ka ranplase pa srcPou wè pakè yo ke yo voye nan òdinatè w lan:
sudo tcpdump -i ppp0 src hôte google-public-dns-a.google.com
Remak: filtre lame a dwe apre dst oswa src, otreman lòd la pral voye yon erè. Nan ka filtraj pa IP, sou kontrè a, dst ak src yo devan filtè IP.
Aplike a ak ak oswa filtre
Si ou bezwen sèvi ak plizyè filtè nan yon sèl lòd nan yon fwa, Lè sa a, ou bezwen pou aplike pou yon filtre ak oswa oswa (depann sou ka a). Pa espesifye filtè nan sentaks la ak separe yo ak sa yo operatè yo, ou pral fè yo travay kòm youn. Pou egzanp, li sanble tankou sa a:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 oswa ip src 95.47.144.254
Yon egzanp:
Sentaks la lòd montre sa nou vle montre "Tèminal" tout pake ki te voye nan adrès 95.47.144.254 ak pake resevwa pa menm adrès la. Ou kapab tou chanje kèk varyab nan ekspresyon sa a. Pou egzanp, olye pou yo IP, presize HOST oswa dirèkteman ranplase adrès yo tèt yo.
Pòte epi bay yon filtre
Filtre pò pafè nan ka kote ou bezwen jwenn enfòmasyon sou pakè ak yon pò espesifik. Se konsa, si ou sèlman bezwen wè repons oswa quotes dns, ou bezwen presize pò 53:
sudo tcpdump -vv -i pò ppp0 53
Yon egzanp:
Si ou vle wè pake http, ou bezwen antre nan pò 80:
sudo tcpdump -vv -i pò ppp0 80
Yon egzanp:
Pami lòt bagay, li posib imedyatman swiv seri a nan pò. Filtre aplike pou sa. aranje:
sudo tcpdump aranje 50-80
Kòm ou ka wè, nan konjonksyon avèk filtre la aranje opsyon opsyonèl obligatwa yo obligatwa. Jis mete seri a.
Pwotokòl Filtraj
Ou kapab tou montre sèlman trafik ki matche ak nenpòt ki pwotokòl. Pou fè sa, itilize non pwotokòl sa a kòm yon filtè. Se pou nou gade nan yon egzanp udp:
sudo tcpdump -vvv -i ppp0 udp
Yon egzanp:
Kòm ou ka wè nan imaj la, apre yo fin egzekite lòd la nan "Tèminal" sèlman pakè ak pwotokòl la te parèt udp. An konsekans, ou ka filtre pa lòt moun, pou egzanp, arp:
sudo tcpdump -vv -i ppp0 arp
oswa tchp:
sudo tcpdump -vvv -i ppp0 tcp
Filè Filè
Operatè nèt ede pake filtre ki baze sou deziyasyon rezo yo. Sèvi ak li se kòm senp tankou rès la - ou bezwen presize yon atribi nan sentaks la nèt, Lè sa a, antre nan adrès rezo a. Isit la se yon egzanp tout moun ki tankou yon lòd:
sudo tcpdump -i ppp0 nèt 192.168.1.1
Yon egzanp:
Gwosè pake filtraj
Nou pa te konsidere de plis filtè enteresan: mwens ak pi gwo. Soti nan tablo a ak filtè, nou konnen yo sèvi pou pwodui pakè done plis (mwens) oswa mwens (pi gwo) gwosè a espesifye apre k ap antre nan atribi la.
Sipoze nou vle kontwole pake sèlman ki pa depase make la 50-ti jan, Lè sa a, lòd la pral gade tankou sa a:
sudo tcpdump -i ppp0 mwens 50
Yon egzanp:
Koulye a, kite a montre nan "Tèminal" pake pi gwo pase 50 Bits:
sudo tcpdump -i ppp0 pi gwo 50
Yon egzanp:
Kòm ou ka wè, yo aplike menm jan an, sèl diferans lan se nan non filtè a.
Konklizyon
Nan fen atik la, nou ka konkli ke ekip la tcpdump - Sa a se yon zouti ekselan ak kote ou ka swiv nenpòt ki pake done transmèt sou entènèt la. Men, pou sa a li pa ase jis antre nan kòmandman nan tèt li nan "Tèminal". Rezilta a vle jwenn sèlman si ou itilize tout kalite opsyon ak filtè, osi byen ke konbinezon yo.
