Adatcsomagokat akar rögzíteni a hálózat forgalmának elemzése érdekében? Lehet, hogy Ön egy szerver rendszergazda, aki beleütközött egy problémába, és figyelni szeretné a továbbított adatokat a hálózaton. Bármi legyen is a helyzet, a tcpdump Linux segédprogramra van szüksége.
Ebben a cikkben részletesen megvitatjuk a tcpdump parancsot, valamint néhány útmutatást a tcpdump telepítéséhez és használatához a Linux rendszeren.
Mi a tcpdump parancs?
Tcpdump egy hatékony hálózatfigyelő eszköz, amely lehetővé teszi a felhasználó számára, hogy hatékonyan szűrje a csomagokat és a forgalmat a hálózaton. Részletes információkat kaphat a TCP / IP-ről és a hálózatán továbbított csomagokról. A Tcpdump egy parancssori segédprogram, ami azt jelenti, hogy megjelenítés nélkül futtathatja Linux szervereken.
A rendszergazdák a tcpdump segédprogramot is integrálhatják cron különféle feladatok, például naplózás automatizálása érdekében. Mivel számos funkciója meglehetősen sokoldalúvá teszi, a tcpdump hibaelhárításként és biztonsági eszközként is működik.
A tcpdump telepítése Linuxra
Míg legtöbbször a tcpdump-ot előtelepítve találja meg a rendszerén, egyes Linux-disztribúciók nem szállítják a csomagot. Ezért előfordulhat, hogy manuálisan kell telepítenie a segédprogramot a rendszerére.
A. Használatával ellenőrizheti, hogy a tcpdump telepítve van-e a rendszerére melyik parancs.
melyik tcpdump
Ha a kimenet könyvtár útvonalat jelenít meg (/usr/bin/tcpdump), akkor a rendszer telepítette a csomagot. Ha nem, akkor könnyen megteheti a rendszer alapértelmezett csomagkezelőjével.
A tcpdump telepítése Debian-alapú terjesztésekre, például az Ubuntu-ra:
sudo apt-get install tcpdump
A tcpdump telepítése a CentOS-ra is egyszerű.
sudo yum telepítse a tcpdump fájlt
Arch-alapú terjesztésekről:
sudo pacman -S tcpdump
Telepítés a Fedorára:
sudo dnf install tcpdump
Vegye figyelembe, hogy a tcpdump csomag megköveteli libcap függőségként, ezért feltétlenül telepítse a rendszerére is.
Tcpdump példák hálózati csomagok rögzítésére Linuxon
Most, hogy sikeresen telepítette a tcpdump fájlt a Linux gépére, itt az ideje, hogy figyeljen néhány csomagot. Mivel a tcpdump a legtöbb művelet végrehajtásához superuser engedélyekre van szükség, hozzá kell adnia sudo a parancsaidhoz.
1. Sorolja fel az összes hálózati interfészt
Annak ellenőrzéséhez, hogy mely hálózati interfészek érhetők el, használja a -D zászló a tcpdump paranccsal.
tcpdump -D
A --list-interfészek A flag mint argumentum ugyanazt a kimenetet adja vissza.
tcpdump --list-interfaces
A kimenet felsorolja az összes hálózati interfészt, amelyek a rendszeren vannak.
Miután megkapta a hálózati interfészek listáját, itt az ideje, hogy figyelje a hálózatát csomagok rögzítésével a rendszerén. Bár megadhatja, hogy melyik felületet kívánja használni, a Bármi argument megadja a tcpdump parancsot, hogy bármilyen aktív felület használatával rögzítse a hálózati csomagokat.
tcpdump - bármelyik interfész
A rendszer a következő kimenetet jeleníti meg.
Összefüggő: Mi a nyílt rendszerek összekapcsolási modellje?
2. A tcpdump kimeneti formátum
A harmadik sortól kezdve a kimenet minden sora egy meghatározott csomagot jelöl, amelyet a tcpdump rögzített. Így néz ki egy csomag kimenete.
17: 00: 25.369138 wlp0s20f3 Out IP localsystem.40310> kul01s10-in-f46.1e100.net.https: Flags [P.], 196: 568, ack 1, win 309, opciók [nop, nop, TS val 117964079 ecr 816509256], hossza 33
Ne feledje, hogy nem minden csomagot rögzítenek így, de a legtöbbjük ezt az általános formátumot követi.
A kimenet a következő információkat tartalmazza.
- A fogadott csomag időbélyege
- Interfész neve
- Csomagáramlás
- A hálózati protokoll neve
- IP-cím és port részletei
- TCP zászlók
- A csomagban lévő adatok sorszáma
- Ack adatok
- Ablak mérete
- A csomag hossza
Az első mező (17:00:25.369138) megjeleníti az időbélyeget, amikor a rendszere elküldte vagy megkapta a csomagot. A rögzített idő a rendszer helyi idejéből származik.
A második és a harmadik mező a használt interfészt és a csomag áramlását jelöli. A fenti részletben wlp0s20f3 a vezeték nélküli interfész neve és Ki a csomagáramlás.
A negyedik mező a hálózati protokoll nevével kapcsolatos információkat tartalmazza. Általában két protokollt talál- IP és IP6, ahol az IP az IPV4-et jelöli, az IP6 pedig az IPV6-ot jelenti.
A következő mező az IP-címeket vagy a forrás- és célrendszer nevét tartalmazza. Az IP-címeket a portszám követi.
A kimenet hatodik mezője TCP jelzőkből áll. Különböző zászlók vannak, amelyeket a tcpdump kimenetben használnak.
Zászló neve | Érték | Leírás |
---|---|---|
SYN | S | A kapcsolat megkezdődött |
USZONY | F | A kapcsolat kész |
NYOM | P | Az adatok eltolódnak |
RST | R | A kapcsolat visszaáll |
ACK | . | Elismerés |
A kimenet több TCP jelző kombinációját is tartalmazhatja. Például, FLAG [f.] egy FIN-ACK csomagot jelent.
A kimeneti részletben tovább haladva a következő mező tartalmazza a sorozatszámot (196: 568) a csomagban lévő adatokról. Az első csomagnak mindig pozitív egész értéke van, és a következő csomagok a relatív sorszámot használják az adatfolyam javítására.
A következő mező tartalmazza a nyugtázási számot (ack 1), vagy egyszerű Ack-szám. A feladó gépén rögzített csomagnak 1 van a nyugtázási száma. A vevő végén az Ack szám a következő csomag értéke.
A kimenet kilencedik mezője az ablak méretét (győzelem 309), amely a fogadó pufferben elérhető bájtok száma. Számos más mező követi az ablak méretét, beleértve a maximális szegmens méretét (MSS).
Az utolsó mező (hossza 33) a tcpdump által rögzített teljes csomag hosszát tartalmazza.
3. Korlátozza a rögzített csomagok számát
A tcpdump parancs első futtatása közben észreveheti, hogy a rendszer addig folytatja a hálózati csomagok rögzítését, amíg meg nem ad egy megszakítási jelet. Ezt az alapértelmezett viselkedést felülírhatja úgy, hogy előzetesen megadja a rögzíteni kívánt csomagok számát a -c zászló.
tcpdump - bármilyen interfész -c 10
A fent említett parancs tíz csomagot fog le bármilyen aktív hálózati csatolóról.
4. A csomagok szűrése mezők alapján
Amikor elhárít egy problémát, a terminál nagy blokkjának beírása nem könnyíti meg. Itt jelenik meg a tcpdump szűrési funkciója. Szűrheti a csomagokat különböző mezők szerint, beleértve a gazdagépet, a protokollt, a portszámot és egyebeket.
Csak TCP csomagok rögzítéséhez írja be:
tcpdump - bármelyik interfész -c 5 tcp
Hasonlóképpen, ha a kimenetet a portszám használatával szeretné szűrni:
tcpdump - bármelyik -c 5 50-es port összekapcsolása
A fent említett parancs csak a megadott porton keresztül továbbított csomagokat fogja letölteni.
Az adott gazdagép csomagjának részletei:
tcpdump - bármely -c 5 gazdagép interfésze 112.123.13.145
Ha egy adott gazdagép által küldött vagy fogadott csomagokat szeretne szűrni, használja a src vagy dst argumentum a paranccsal.
tcpdump - bármilyen interfész -c 5 src 112.123.13.145
tcpdump - bármelyik interfész -c 5 dst 112.123.13.145
Használhatja a logikai operátorokat is és és vagy két vagy több kifejezést kombinálni. Például a forrás IP-hez tartozó csomagok beszerzéséhez 112.123.13.145 és használja a portot 80:
tcpdump - bármely -c 10 src 112.123.13.145 és 80-as port összekapcsolása
A komplex kifejezéseket a csoport segítségével csoportosíthatjuk zárójelben alábbiak szerint:
tcpdump - bármelyik -c 10 "(src 112.123.13.145 vagy src 234.231.23.234) és (45. vagy 80. port) interfész"
5. Tekintse meg a csomag tartalmát
Használhatja a -A és -x a tcpdump paranccsal jelzi, hogy elemezze a hálózati csomag tartalmát. A -A zászló áll ASCII formátum és -x jelöli hexadecimális formátum.
A rendszer által rögzített következő hálózati csomag tartalmának megtekintéséhez:
tcpdump - bármelyik -c 1 -A interfész
tcpdump - bármelyik -c 1 -x interfész
Összefüggő: Mi a csomagvesztés és hogyan lehet orvosolni annak okát?
6. A rögzített adatok mentése fájlba
Ha referencia céljából el akarja menteni a rögzítési adatokat, a tcpdump segít Önnek. Csak adja át a -w jelölje meg az alapértelmezett paranccsal, hogy a kimenetet fájlba írja, ahelyett, hogy azt megjelenítené a képernyőn.
tcpdump --interface bármilyen -c 10 -w data.pcap
A .pcap a fájlkiterjesztés a csomagrögzítés adat. A fent említett parancs részletes módban is kiadható a -v zászló.
tcpdump --interface bármilyen -c 10 -w data.pcap -v
Olvasni a .pcap fájlt a tcpdump használatával, használja a -r zászló, majd a fájl elérési útja. A -r áll Olvas.
tcpdump -r data.pcap
Szűrheti a hálózati csomagokat a fájlba mentett csomagadatokból is.
tcpdump -r data.pcap 80-as port
A hálózati forgalom figyelése Linuxon
Ha egy Linux kiszolgáló adminisztrálását kapta meg, akkor a tcpdump parancs nagyszerű eszköz az arzenálba való felvételre. Könnyen megoldhatja a hálózattal kapcsolatos problémákat, ha valós időben rögzíti a hálózatán továbbított csomagokat.
De mindezek előtt a készüléknek csatlakoznia kell az internethez. A Linux kezdők számára még a parancssoron keresztüli Wi-Fi-hez való csatlakozás is kissé kihívást jelenthet. De ha megfelelő eszközöket használ, akkor ez egy pillanat.
Szeretne csatlakozni egy Wi-Fi hálózathoz a Linux parancssorán keresztül? Itt kell megtudnia az nmcli parancsot.
Olvassa el a következőt
- Linux
- Biztonság
- Hálózati kriminalisztika
Deepesh a MUO Linux-szerkesztője. Több mint 3 éve ír információs tartalmat az interneten. Szabadidejében szívesen ír, zenét hallgat és gitározik.
Iratkozzon fel hírlevelünkre
Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!
Még egy lépés…!
Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.