Adatcsomagokat akar rögzíteni a hálózat forgalmának elemzése érdekében? Lehet, hogy Ön egy szerver rendszergazda, aki beleütközött egy problémába, és figyelni szeretné a továbbított adatokat a hálózaton. Bármi legyen is a helyzet, a tcpdump Linux segédprogramra van szüksége.

Ebben a cikkben részletesen megvitatjuk a tcpdump parancsot, valamint néhány útmutatást a tcpdump telepítéséhez és használatához a Linux rendszeren.

Mi a tcpdump parancs?

Tcpdump egy hatékony hálózatfigyelő eszköz, amely lehetővé teszi a felhasználó számára, hogy hatékonyan szűrje a csomagokat és a forgalmat a hálózaton. Részletes információkat kaphat a TCP / IP-ről és a hálózatán továbbított csomagokról. A Tcpdump egy parancssori segédprogram, ami azt jelenti, hogy megjelenítés nélkül futtathatja Linux szervereken.

A rendszergazdák a tcpdump segédprogramot is integrálhatják cron különféle feladatok, például naplózás automatizálása érdekében. Mivel számos funkciója meglehetősen sokoldalúvá teszi, a tcpdump hibaelhárításként és biztonsági eszközként is működik.

instagram viewer

A tcpdump telepítése Linuxra

Míg legtöbbször a tcpdump-ot előtelepítve találja meg a rendszerén, egyes Linux-disztribúciók nem szállítják a csomagot. Ezért előfordulhat, hogy manuálisan kell telepítenie a segédprogramot a rendszerére.

A. Használatával ellenőrizheti, hogy a tcpdump telepítve van-e a rendszerére melyik parancs. 

melyik tcpdump

Ha a kimenet könyvtár útvonalat jelenít meg (/usr/bin/tcpdump), akkor a rendszer telepítette a csomagot. Ha nem, akkor könnyen megteheti a rendszer alapértelmezett csomagkezelőjével.

A tcpdump telepítése Debian-alapú terjesztésekre, például az Ubuntu-ra: 

sudo apt-get install tcpdump

A tcpdump telepítése a CentOS-ra is egyszerű. 

sudo yum telepítse a tcpdump fájlt

Arch-alapú terjesztésekről: 

sudo pacman -S tcpdump

Telepítés a Fedorára: 

sudo dnf install tcpdump

Vegye figyelembe, hogy a tcpdump csomag megköveteli libcap függőségként, ezért feltétlenül telepítse a rendszerére is.

Tcpdump példák hálózati csomagok rögzítésére Linuxon

Most, hogy sikeresen telepítette a tcpdump fájlt a Linux gépére, itt az ideje, hogy figyeljen néhány csomagot. Mivel a tcpdump a legtöbb művelet végrehajtásához superuser engedélyekre van szükség, hozzá kell adnia sudo a parancsaidhoz.

1. Sorolja fel az összes hálózati interfészt

Annak ellenőrzéséhez, hogy mely hálózati interfészek érhetők el, használja a -D zászló a tcpdump paranccsal. 

tcpdump -D

A --list-interfészek A flag mint argumentum ugyanazt a kimenetet adja vissza. 

tcpdump --list-interfaces

A kimenet felsorolja az összes hálózati interfészt, amelyek a rendszeren vannak.

Miután megkapta a hálózati interfészek listáját, itt az ideje, hogy figyelje a hálózatát csomagok rögzítésével a rendszerén. Bár megadhatja, hogy melyik felületet kívánja használni, a Bármi argument megadja a tcpdump parancsot, hogy bármilyen aktív felület használatával rögzítse a hálózati csomagokat. 

tcpdump - bármelyik interfész

A rendszer a következő kimenetet jeleníti meg.

Összefüggő: Mi a nyílt rendszerek összekapcsolási modellje?

2. A tcpdump kimeneti formátum

A harmadik sortól kezdve a kimenet minden sora egy meghatározott csomagot jelöl, amelyet a tcpdump rögzített. Így néz ki egy csomag kimenete. 

17: 00: 25.369138 wlp0s20f3 Out IP localsystem.40310> kul01s10-in-f46.1e100.net.https: Flags [P.], 196: 568, ack 1, win 309, opciók [nop, nop, TS val 117964079 ecr 816509256], hossza 33

Ne feledje, hogy nem minden csomagot rögzítenek így, de a legtöbbjük ezt az általános formátumot követi.

A kimenet a következő információkat tartalmazza.

  1. A fogadott csomag időbélyege
  2. Interfész neve
  3. Csomagáramlás
  4. A hálózati protokoll neve
  5. IP-cím és port részletei
  6. TCP zászlók
  7. A csomagban lévő adatok sorszáma
  8. Ack adatok
  9. Ablak mérete
  10. A csomag hossza

Az első mező (17:00:25.369138) megjeleníti az időbélyeget, amikor a rendszere elküldte vagy megkapta a csomagot. A rögzített idő a rendszer helyi idejéből származik.

A második és a harmadik mező a használt interfészt és a csomag áramlását jelöli. A fenti részletben wlp0s20f3 a vezeték nélküli interfész neve és Ki a csomagáramlás.

A negyedik mező a hálózati protokoll nevével kapcsolatos információkat tartalmazza. Általában két protokollt talál- IP és IP6, ahol az IP az IPV4-et jelöli, az IP6 pedig az IPV6-ot jelenti.

A következő mező az IP-címeket vagy a forrás- és célrendszer nevét tartalmazza. Az IP-címeket a portszám követi.

A kimenet hatodik mezője TCP jelzőkből áll. Különböző zászlók vannak, amelyeket a tcpdump kimenetben használnak.

Zászló neve Érték Leírás
SYN S A kapcsolat megkezdődött
USZONY F A kapcsolat kész
NYOM P Az adatok eltolódnak
RST R A kapcsolat visszaáll
ACK . Elismerés

A kimenet több TCP jelző kombinációját is tartalmazhatja. Például, FLAG [f.] egy FIN-ACK csomagot jelent.

A kimeneti részletben tovább haladva a következő mező tartalmazza a sorozatszámot (196: 568) a csomagban lévő adatokról. Az első csomagnak mindig pozitív egész értéke van, és a következő csomagok a relatív sorszámot használják az adatfolyam javítására.

A következő mező tartalmazza a nyugtázási számot (ack 1), vagy egyszerű Ack-szám. A feladó gépén rögzített csomagnak 1 van a nyugtázási száma. A vevő végén az Ack szám a következő csomag értéke.

A kimenet kilencedik mezője az ablak méretét (győzelem 309), amely a fogadó pufferben elérhető bájtok száma. Számos más mező követi az ablak méretét, beleértve a maximális szegmens méretét (MSS).

Az utolsó mező (hossza 33) a tcpdump által rögzített teljes csomag hosszát tartalmazza.

3. Korlátozza a rögzített csomagok számát

A tcpdump parancs első futtatása közben észreveheti, hogy a rendszer addig folytatja a hálózati csomagok rögzítését, amíg meg nem ad egy megszakítási jelet. Ezt az alapértelmezett viselkedést felülírhatja úgy, hogy előzetesen megadja a rögzíteni kívánt csomagok számát a -c zászló. 

tcpdump - bármilyen interfész -c 10

A fent említett parancs tíz csomagot fog le bármilyen aktív hálózati csatolóról.

4. A csomagok szűrése mezők alapján

Amikor elhárít egy problémát, a terminál nagy blokkjának beírása nem könnyíti meg. Itt jelenik meg a tcpdump szűrési funkciója. Szűrheti a csomagokat különböző mezők szerint, beleértve a gazdagépet, a protokollt, a portszámot és egyebeket.

Csak TCP csomagok rögzítéséhez írja be: 

tcpdump - bármelyik interfész -c 5 tcp

Hasonlóképpen, ha a kimenetet a portszám használatával szeretné szűrni: 

tcpdump - bármelyik -c 5 50-es port összekapcsolása

A fent említett parancs csak a megadott porton keresztül továbbított csomagokat fogja letölteni.

Az adott gazdagép csomagjának részletei: 

tcpdump - bármely -c 5 gazdagép interfésze 112.123.13.145

Ha egy adott gazdagép által küldött vagy fogadott csomagokat szeretne szűrni, használja a src vagy dst argumentum a paranccsal. 

tcpdump - bármilyen interfész -c 5 src 112.123.13.145
tcpdump - bármelyik interfész -c 5 dst 112.123.13.145

Használhatja a logikai operátorokat is és és vagy két vagy több kifejezést kombinálni. Például a forrás IP-hez tartozó csomagok beszerzéséhez 112.123.13.145 és használja a portot 80: 

tcpdump - bármely -c 10 src 112.123.13.145 és 80-as port összekapcsolása

A komplex kifejezéseket a csoport segítségével csoportosíthatjuk zárójelben alábbiak szerint: 

tcpdump - bármelyik -c 10 "(src 112.123.13.145 vagy src 234.231.23.234) és (45. vagy 80. port) interfész"

5. Tekintse meg a csomag tartalmát

Használhatja a -A és -x a tcpdump paranccsal jelzi, hogy elemezze a hálózati csomag tartalmát. A -A zászló áll ASCII formátum és -x jelöli hexadecimális formátum.

A rendszer által rögzített következő hálózati csomag tartalmának megtekintéséhez: 

tcpdump - bármelyik -c 1 -A interfész
tcpdump - bármelyik -c 1 -x interfész

Összefüggő: Mi a csomagvesztés és hogyan lehet orvosolni annak okát?

6. A rögzített adatok mentése fájlba

Ha referencia céljából el akarja menteni a rögzítési adatokat, a tcpdump segít Önnek. Csak adja át a -w jelölje meg az alapértelmezett paranccsal, hogy a kimenetet fájlba írja, ahelyett, hogy azt megjelenítené a képernyőn. 

tcpdump --interface bármilyen -c 10 -w data.pcap

A .pcap a fájlkiterjesztés a csomagrögzítés adat. A fent említett parancs részletes módban is kiadható a -v zászló. 

tcpdump --interface bármilyen -c 10 -w data.pcap -v

Olvasni a .pcap fájlt a tcpdump használatával, használja a -r zászló, majd a fájl elérési útja. A -r áll Olvas. 

tcpdump -r data.pcap

Szűrheti a hálózati csomagokat a fájlba mentett csomagadatokból is. 

tcpdump -r data.pcap 80-as port

A hálózati forgalom figyelése Linuxon

Ha egy Linux kiszolgáló adminisztrálását kapta meg, akkor a tcpdump parancs nagyszerű eszköz az arzenálba való felvételre. Könnyen megoldhatja a hálózattal kapcsolatos problémákat, ha valós időben rögzíti a hálózatán továbbított csomagokat.

De mindezek előtt a készüléknek csatlakoznia kell az internethez. A Linux kezdők számára még a parancssoron keresztüli Wi-Fi-hez való csatlakozás is kissé kihívást jelenthet. De ha megfelelő eszközöket használ, akkor ez egy pillanat.

Email
Hogyan lehet csatlakozni a Wi-Fi-hez a Linux terminálon keresztül az Nmcli segítségével

Szeretne csatlakozni egy Wi-Fi hálózathoz a Linux parancssorán keresztül? Itt kell megtudnia az nmcli parancsot.

Olvassa el a következőt

Kapcsolódó témák
  • Linux
  • Biztonság
  • Hálózati kriminalisztika
A szerzőről
Deepesh Sharma (37 cikk megjelent)

Deepesh a MUO Linux-szerkesztője. Több mint 3 éve ír információs tartalmat az interneten. Szabadidejében szívesen ír, zenét hallgat és gitározik.

Tovább a Deepesh Sharma-tól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.