Wann Dir d'Netzwierkpaketen am Linux analyséiere oder austauschen muss, ass et besser fir de Konsol Utility virzebereeden. tcpdump. Mä de Problem entsteht an senger éischter komplizéierter Verwaltung. Et ass onméiglech fir e gewéinleche Benotzer, mat der Utilitéit ze schaffen, awer dat ass nëmmen op den éischte Bléck. Den Artikel erënnert erklärt wéi tcpdump organiséiert gëtt, wat Syntax huet, wéi se se benotzt, a wéivill Beispiller vu senger Benotzung ginn uginn.
Kuckt och: Tutorials fir eng Internetverbindung zu Ubuntu, Debian, Ubuntu Server
Installatioun
Déi meescht Entwéckler vu Linux-baséiert Betriebssystemen schloen d'Tcpdump Utility an der Lëscht vun virdrun installéiert, awer wann et aus irgendege Grond et net an Ärem Verdeelung ass, kënnt Dir et ëmmer downloaden a gratis opmaachen "Terminal". Wann Är OS op Basis Debian baséiert, an dat ass Ubuntu, Linux Mint, Kali Linux an dergläiz, musst Dir dëst Kommando ausféieren:
sudo apt installéiere tcpdump
Wann Dir installéiert Dir musst e Passwuert wielen. Maacht weg datt wann et seet, gëtt et net ugewisen, och fir d'Installatioun ze bestätegen, musst Dir den Charakter erlaben "D" an dréckt op Eran.
Wann Dir Red Hat, Fedora oder CentOS hutt, kënnt de Installatiounsbefehl esou:
sudo yam installéiert tcpdump
Nodeems de Provider installéiert ass, kënnt Dir et immediately benotzen. Dëst an e puer méi spéit wäerte spéider am Text diskutéiert ginn.
Kuckt och: PHP Install Guide fir Ubuntu Server
Syntax
Wéi all aner Kommando, tcpdump huet seng eege Syntax. Wann Dir him kënnt, kënnt Dir all déi noutwuere Parameter setzen, déi bei der Ausféierung vum Kommando berücksichtegt ginn. De Syntax ass:
tcpdump options -i interfacefilter
Wann Dir de Kommando benotzt, musst Dir d'Interface verféieren. Filteren an Optiounen sinn net obligatoresch Variablen, awer si erlaben méi flexibel Konfiguratioun.
Optiounen
Obwuel et net néideg ass fir dës Optioun anzesetzen, ass et nach ëmmer ze maachen fir d'Verfügbar ze listen. D'Tabelle net all hir Lëscht, awer nëmmen déi meescht populär, awer si sinn méi wéi genuch fir d'Majoritéit vun den Aufgaben ze léisen.
| Option | Definitioun |
|---|---|
| -A | Erlaabt Iech Pack'en am ASCII-Format ze sortéieren |
| -l | Eng Fënsterfunktioun. |
| -i | No der Ufro kënnt Dir d'Netzwierk iwwersat ginn datt iwwerwaacht gëtt. Fir all Successioun vun all Interfaces ze verfollegen, gitt d'Wuert "keng" no der Optioun. |
| -c | Fëllt den Verfollegungsprozess un der Verëffentlechung vun der bestëmmter Unzuel vun Packagen. |
| -w | Gitt eng Textdatei mat engem Verifizatiounsbericht. |
| -e | Weist d'Internetverbindungsniveau vum Datebank. |
| -L | Affektéiert nëmme déi Protokollen, déi duerch d'spezifizéiert Netzschnittlech ënnerstëtzt ginn. |
| -C | Erstellt eng aner Datei beim Schreiwen vun engem Paket, wann seng Gréisst méi grouss ass wéi déi ugewise sinn. |
| -r | Opersäits e Fichier fir d'Liesen mat der -w Optioun. |
| -j | De TimeStamp-Format gëtt fir d'Opreegung vun Packagen benotzt. |
| -J | Erlaabt Iech all Formateuren TimeStamp ze gesinn |
| -G | Benotzt fir eng Datei mat Logbicher ze erstellen. D'Optioun erfuerdert och e temporäre Wäert, no deem e neie Logbuch geschafe gëtt |
| -v, -vv, -vvv | Ofhängeg vun der Unzuel vun Charakteren an der Optioun, gëtt d'Ausgab vum Kommando méi detailléiert (eng Zuel ass direkt proportional zum Zuel vun Zeechen) |
| -f | Den Output weist de Domain-Numm vun der IP Adress |
| -F | Erlaabt Iech d'Informatioun net vun der Netzwierkofgrenzung ze liesen, awer vun der spezifizéierter Datei |
| -D | Présentéiert all Netzwierksinterfaces déi benotzt kënne ginn. |
| -n | Deaktivéiert d'Affichage vun Domainnamen |
| -Z | Gitt den Benotzer an deem de Kont zou datt all Dateie erstallt ginn. |
| -K | Préift Checksummenanalyse |
| -q | Demonstratioun vu brief Informatioun |
| -H | Detektéiert 802.11s Header |
| -I | Wann Dir Pakete am Monitormodus fënnt. |
Nodeems mir d'Optiounen un iwwerpréift hunn, si mir direkt an hir Applikatiounen. An der Zwëschenzäit sinn Filtere ginn.
Filter
Wéi am Ufank vum Artikel erwähnt gouf, kënnt Dir Filters un der tcpdump Syntax hinzufügen. Déi meescht populär vun hinnen ginn uginn:
| Filter | Definitioun |
|---|---|
| Provider | Gitt den Hostnam. |
| net | Gitt d'IP-Subnetz an den Netz |
| IP | Gitt d'Protokolladressatioun |
| src | Sinn déi Pakete déi aus der spezifizéierter Adress geschéckt ginn sinn |
| dst | Sinn déi Pakete déi vun der spezifizéierter Adress empfangen hunn. |
| arp, udp, tcp | Filterung vun engem vun de Protokollen |
| Hafen | Informéiert Informatioun un engem spezifeschen Hafen. |
| an, oder | Dir benotzt fir verschidde Filteren an engem Kommando ze kombinéieren. |
| manner, méi grouss | Auslagerungspackagen méi kleng oder méi grouss wéi d'spezifizéierter Gréisst |
All déi uewegen Filter kënnen matenee kombinéiert ginn, also beim Ausbezuelen vun engem Kommando wësst Dir just déi Informatioun déi Dir sicht. Fir méi an d'Detailer vun den uewegen Filter ze verstoen ass et Wäert ze ginn Beispiller.
Kuckt och: Dacks benotze Kommandoen am Linux Terminal
Beispiller benotzt
Heefeg gebraucht tcpdump Syntax-Méiglechkeeten gëtt elo opgelëscht. All déi si kënnen net opgezielt sinn, well hir Variatioune kann onendlech sinn.
Lëscht vun den Interface Lëscht
Et gëtt recommandéiert datt all Benotzer zënter d'Lëscht vun all sengem Netzwierkinterfaces kuckt, déi verfolgt kënne sinn. Vun der Tabelle hei uewen wësse mer datt Dir dës Optioun benotzt -Dalso am Terminal de folgend Kommando ausféieren:
sudo tcpdump -D
Beispill:
Wéi Dir gesitt, sinn et u sech 8 Interfaces am Beispiel datt Dir den Tcpdump Kommando benotzt. Den Artikel ginn Beispiller vu ppp0, kënnt Dir all aner benotze.
Normal Verkéiersfamill
Wann Dir eng eenzeg Netzschnëtt benotze musst, kënnt Dir dëst mat der Optioun do maachen -i. Vergiesst net den Interface-Name no der Äertgeld ze entereden. Hei ass e Beispill vun der Ausféierung vum Kommando:
sudo tcpdump -i ppp0
Maacht weg: Dir musst "sudo" virum Kommando selwer benotzen, well et e Recht vum Superuser brauch.
Beispill:
Remark: wann et dréckt Enter yn "Terminal", ginn déi ofgeschnidden Paketen kontinuéierlech angezeigt. Fir hir Stroum ze stoppen, musst Dir d'Schlësselkombinatioun Ctrl + C.
Wann Dir de Kommando ouni zousätzlech Optiounen a Filters gesitt, kënnt Dir de folgend Format fir ze gesinn vun verpasst Paketen:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], seq 1: 595, Ack 1118, Win 6494, Optiounen [nop, nop, TS val 257060077 ecr 697597623], Längt 594
Wou d'Faarwen markéiert:
- blo - d'Zäit vum Empfang vun der Packung;
- Orange Protokoll Versioun;
- Adress vun der grénger Sender;
- purpur - d'Adress vum Empfänger;
- giel - zousätzlech Informatiounen iwwer tcp;
- Rout - Paketgréisst (an Bytes ugewisen).
Dës Syntax huet d'Fähigkeit fir erauszefannen op d'Fënster "Terminal" ouni de Gebrauch vun zousätzlech Optiounen.
Gitt Accident mat der -v Option
Wéi bekannt aus der Tabelle ass d'Optioun -v erméiglecht Iech d'Quantitéit vun Informatioun ze erhéigen. Loosse mer e Beispill maachen. Kuckt déi selwecht Interface:
sudo tcpdump -v -i ppp0
Beispill:
Hei kënnt Dir gesinn datt d'folgend Linn am Output erauskomm ass:
IP (tos 0x0, ttl 58, id 30675, Offset 0, Markéierter [DF], Protokoll TCP (6), Längt 52
Wou d'Faarwen markéiert:
- Orange Protokoll Versioun;
- blo - d'Liewen vum Protokoll;
- Gréng - d'Längt vum Feld Header;
- violette Versioun vum tcp-Paket;
- rout - Paquetgréisst.
Och an der Kommando-Syntax kënnt Dir d'Optioun schreiwen -vv oder -vvv, wat weider d'Quantitéit vun Informatioun vergréissert, déi op der Kaart ersat ginn.
De -w an -r
D'Optiounstabelle erwähnt d'Méiglechkeet, all d'Ausgabedaten an enger separater Datei ze späicheren, fir datt se méi spéit gesinn kënnen. D'Optioun ass responsabel fir dat. -w. Et ass ganz einfach ze benotzen, gitt einfach am Kommando a gitt dann den Numm vun der zukënfte Fichier mat der Verlängerung "pcap". Egal wéi all Beispiller kucken:
sudo tcpdump -i ppp0 -w file.pcap
Beispill:
Notiz: Beim Schreie Logbicher zu enger Datei, gëtt keen Text op der Kaart "Terminal" angezeigt.
Wann Dir de gespäicherten Output kucke wëllt, musst Dir d'Optioun benotzen -ran dann den Numm vun der virdrun erfëllter Datei. Et gëtt ouni aner Optiounen an Filters applizéiert:
sudo tcpdump -r file.pcap
Beispill:
Aaner dës Optiounen sinn perfekt an Fäll, wou Dir eng grouss Quantitéit vun Text fir spéider Analyse spueren muss.
IP - Filterung
Vun der Filtertabelle wësse mer dat dst Dir kënnt op der Konsole Bildschierm nëmmen déi Packagen, déi vun der Adress an der Kommando Syntax ugeholl goufen. Dofir ass et ganz bequem ze gesinn déi Pakete vun Ärem Computer kritt. Fir dat ze maachen, muss d'Équipe just Är IP Adress spezifizéieren:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Beispill:
Wéi Dir gesitt, ausser dst, am Team hunn mir och de Filter ageschriwwen IP. An anere Wierder, mir hunn de Computer gesot datt wann Dir Pakete auswielen, da géifen d'Opmierksamkeet op seng IP Adress respektéieren an net op aner Parameteren.
Mat IP, Dir kënnt Filteren a Paketen schécken. Am Beispill ginn mir eisen IP erëm. Dat heescht, mir wäerten elo suivéieren déi Pakete vu eise Computer an aner Adress geschéckt ginn. Fir dëst ze maachen, fuert den nächste Kommando:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Beispill:
Wéi Dir gesitt, hu mer den Filter an der Kommando Syntax geännert. dst op src, andeems se d'Maschinn ze soen fir de Sender vu IP ze sichsetzen.
HOST ofgeschloss
Analog zu IP am Team, kënne mir e Filter hunn ProviderWeideren Paketen mat dem Wirt vun Interesse. Dat ass, an der Syntax, anescht vun der IP Adress vum Absender / Empfänger, musst dir säin Host ënnerstëtzen. Et gesäit dëst:
sudo tcpdump -i ppp0 dst gëlle google-public-dns-a.google.com
Beispill:
Op dem Bild gesitt Dir dat "Terminal" Nëmmen déi Pakete déi aus eiser IP u google.com Host geschéckt ginn sinn, ginn ugewisen. Wéi Dir gesitt, anstatt vum Google-Host, kënnt Dir iergendwou aner benotzen.
Wéi och mat IP-Filterung ass d'Syntax: dst kann ersat ginn srcFir déi Pakets ze gesinn déi op Äre Computer geschéckt ginn:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Note: de Hostfilter muss no dst oder src sinn, soss gëtt de Kommando e Feeler generéiert. Am Fall vun IP-Filterung, am Géigendeel, dst a src sinn virun de IP-Filter.
Filter an a oder oder
Wann Dir e puer Filter an e puer Kommandë benotze musst, da musst Dir e Filter benotzen. an oder oder (hängt vum Fall). Wann Dir d'Filteren an der Syntax spezifizéiere an se se mat dësen Operatoren ënnerscheet, Dir "maacht" se als eng. An e Beispill gesäit et sou aus:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 oder ip src 95.47.144.254
Beispill:
Vun der Kommando Syntax kënnt Dir kucken, datt mir kucken wären "Terminal" all Pakete déi un d'Adress 95.47.144.254 an d'Pakete geschéckt ginn hunn déi d'selwecht Adress hunn. Dir kënnt och e puer Variablen an dësem Ausdrock änneren. Zum Beispill, anstelle vun IP, HOST spezifizéieren oder direkt Adressen selwer ersetzen.
Filter hafen a Portrange
Filter Hafen Ideal fir wann Dir Informatiounen iwwert Pakete mat engem spezifeschen Hafen ze kréien. Also, wann Dir nëmmen Äntwerten oder DNS-Ufroen kucke muss, musst Dir de Portemonnaie 53 spezifizéieren:
De Sudo tcpdump -vv -i ppp0 Hafen 53
Beispill:
Wann Dir http Pakete kucke wëllt, musst Dir de Port 80 duerchmaachen:
Sudo tcpdump -vv -i ppp0 port 80
Beispill:
Ënnert anerem ass et méiglech direkt de Portée vu Ports ze verfolgen. Fir dat ze maachen, gitt de Filter un portraitée:
sudo tcpdump portrange 50-80
Wéi Dir gesitt, a Verbindung mat dem Filter portraitée Et ass net néideg fir aner Optiounen ze spezifizéieren. Just de Range.
Protokoll Filetéieren
Dir kënnt och de Traffic gesinn deen all Protokoll entsprécht. Fir dat ze maachen, benotzt den Numm vum Protokoll als e Filter. Loosst eis e Beispill kucken udp:
Dann ass et net
Beispill:
Wéi Dir am Bild sëtzt, no der Ausféierung vum Kommando "Terminal" Nëmmen Paketen mam Protokoll goufen ugewisen udp. Dofir däerf Dir fir aner Benotzer filtern, zum Beispill, arp:
De Sudo tcpdump -vvv -i ppp0 arp
oder tcp:
Dann ass et net
Filter net
Betreiber net hëlleft Filteren aus der Basis vun der Benennung vun hirem Netzwierk. Et ass esou einfach fir den Rescht ze benotzen - Dir musst d'Attribut an der Syntax uginn net, gitt an d'Netzadress. Hei ass e Beispill vu sou engem Kommando:
sudo tcpdump -i ppp0 net 192.168.1.1
Beispill:
Filter duerch Package Gréisst
Mir hu nach net méi interessant Filter ugesot: manner an méi grouss. Aus der Tafel mat Filters wësse mir datt si fir méi Datenpaketen ausgoen (manner) oder manner (méi grouss) D'Gréisst déi no dem Attribut festgeluecht gëtt ass agezunn.
Niewebäi datt mer nëmme Pakete beobachten déi net méi wéi 50 Bits maachen, dann de Kommando sou äus aus:
sudo tcpdump -i ppp0 manner 50
Beispill:
Komme mer elo op "Terminal" Pakete méi wéi 50 Bits:
sudo tcpdump -i ppp0 méi 50
Beispill:
Wéi Dir gesitt, sinn se gläichméisseg benotzt, den eenzegen Ënnerscheed am Numm vum Filter.
Conclusioun
Am Schluss vum Artikel kann een d'Schluss zéien datt d'Équipe tcpdump - Dëst ass e super Tool, mat deem Dir all Datenpaket iwwer Internet iwwerdroen kann. Awer fir dëst ass et net genuch just fir de Kommando selwer z'informéieren "Terminal". Fir dat erwënschte Resultat ze erreechen kënnt nëmme wann Dir all Optioun a Filter benotzt, an och hir Kombinatioun.
