Kung kinahanglan nimo nga ma-analisar o manghilabot sa mga packet sa network sa Linux, nan labing maayo nga mogamit usa ka gamit sa console tcpdump. Apan ang problema mitumaw sa labi ka komplikado nga pagdumala. Mopatim-aw nga kini sa kasagaran nga tiggamit nga nagtrabaho uban sa utility dili mabag-o, apan kini sa una lang nga pagtan-aw. Ipasabut sa artikulo kung giunsa ang mga buhat sa tcpdump, kung unsa ang syntax nga naa niini, kung giunsa kini gamiton, ug daghang mga pananglitan sa paggamit niini ang igahatag.
Tan-awa usab: Mga panudlo alang sa pagbutang usa ka koneksyon sa Internet sa Ubuntu, Debian, Ubuntu Server
Pag-instalar
Kadaghanan sa mga nagpalambo sa mga operating system nga nakabase sa Linux nagalakip sa utility sa tcpdump sa lista sa mga nauna nga na-install, apan kung sa pipila nga hinungdan dili kini sa imong pag-apod-apod, mahimo nimo kanunay nga i-download ug i-install kini "Terminal". Kung ang imong OS gibase sa Debian, ug kini ang Ubuntu, Linux Mint, Kali Linux ug uban pa, kinahanglan nimo nga ipadagan kini nga mando:
sudo apt install tcpdump
Kung nag-instalar, kinahanglan nimo nga mosulod sa usa ka password. Palihug hinumdomi nga sa pag-dial, dili kini gipakita, kinahanglan ka usab mosulod D ug i-klik Pagsulod.
Kung ikaw adunay Red Hat, Fedora o CentOS, nan ang hitsura sa pag-install mahimong sama niini:
sudo yam install tcpdump
Human ma-install ang utility, magamit dayon kini. Kini ug daghan pa ang hisgutan sa ulahi sa teksto.
Tan-awa usab: Giya sa Pag-install sa PHP sa Ubuntu Server
Syntax
Sama sa bisan unsang lain nga sugo, ang tcpdump adunay kaugalingon nga syntax. Ang pagkasayud kaniya, mahimo nimo nga itakda ang tanan nga mga kinahanglanon nga mga parameter nga pagaisipon sa pagtuman sa kamandoan. Ang syntax mao ang mga musunud:
mga kapilian sa tcpdump -i interface nga pagsala
Kung gigamit ang mando, kinahanglan nimo nga ipunting ang interface alang sa pagsubay. Ang mga filter ug kapilian mga opsyonal nga variable, apan gitugotan nila ang labi ka dali nga pagpaangay.
Mga kapilian
Bisan kung dili kinahanglan ipasabut ang usa ka kapilian, kinahanglan nimo nga ilista usab ang mga magamit nga magamit. Ang lamesa wala magpakita sa ilang tibuok nga lista, apan labi ka labi ka labi, apan labi pa sila ka igo aron masulbad ang kadaghanan sa mga gimbuhaton.
| Ang kapilian | Kahubitan |
|---|---|
| -A | Gitugotan ka sa paghan-ay sa mga pakete nga adunay format nga ASCII |
| -l | Nagdugang sa function sa scroll. |
| -i | Pagkahuman sa pagsulod, kinahanglan nga imong ipasabut ang interface sa network nga susihon. Aron masugdan ang pag-monitor sa tanan nga mga interface, isulud ang pulong nga "bisan unsang" pagkahuman sa kapilian |
| -c | Nagtapos sa proseso sa pagsubay human sa pagsusi sa gipiho nga gidaghanon sa mga pakete |
| -w | Naghimo usa ka file file nga adunay usa ka report sa pag-verify |
| -e | Nagpakita sa lebel sa koneksyon sa koneksyon sa internet |
| -L | Nagpakita lamang kana nga mga protocol nga gisuportahan sa gitakda nga interface sa network. |
| -C | Naghimo laing us aka file sa pagrekord sa pakete kung ang gidak-on niini mas dako kaysa sa gipiho |
| -r | Pag-abli sa usa ka pagbasa file nga gihimo gamit ang kapilian nga -w |
| -j | Ang format sa TimeStamp gamiton aron maitala ang mga packet |
| -J | Gitugotan ka sa pagtan-aw sa tanan nga magamit nga mga format sa TimeStamp |
| -G | Naglingkod aron makahimo og usa ka log file. Ang kapilian nanginahanglan usab usa ka temporaryo nga kantidad, nga human niana ang usa ka bag-ong log himuon |
| -v, -vv, -vvv | Depende sa gidaghanon sa mga karakter sa kapilian, ang output sa mando mahimong mas detalyado (ang pagdugang direkta nga katimbang sa gidaghanon sa mga karakter) |
| -f | Gipakita ang output ang ngalan sa domain sa mga IP address |
| -F | Gitugotan nga basahon ang kasayuran dili gikan sa interface sa network, apan gikan sa piho nga file |
| -D | Nagpakita ang tanan nga mga interface sa network nga mahimong magamit. |
| -n | Gi-aktibo ang pagpakita sa mga ngalan sa domain |
| -Z | Gipunting ang tiggamit sa ilalum sa account ang tanan nga mga file pagahimoon. |
| -K | Pag-analisar sa tseke nga Laktaw |
| -q | Katingbanan sa Showcase |
| -H | Nakita ang mga header sa 802.11 |
| -Ako | Gigamit sa dihang pagkuha sa mga packet sa monitor mode |
Human masusi ang mga kapilian, usa ka gamay nga ubos nga kita moadto diretso sa ilang mga aplikasyon. Sa kasamtangan, pagaisipon ang mga filter.
Mga filter
Ingon sa gipahayag sa sinugdanan sa artikulo, mahimo nimong idugang ang mga pagsala sa tcpdump syntax. Karon ang labing popular sa kanila ang hisgotan:
| Pagsala | Kahubitan |
|---|---|
| host | Gipunting ang ngalan sa host |
| pukot | Gipakita ang mga subnets sa IP ug mga network |
| ip | Gipunting ang address sa protocol |
| src | Nagpakita mga pakete nga gipadala gikan sa tin-aw nga adres |
| dst | Nagpakita mga pakete nga nadawat sa tin-aw nga adres |
| arp, udp, tcp | Pagsala sa usa sa mga protocol |
| pantalan | Nagpakita kasayuran nga may kalabutan sa usa ka piho nga pantalan |
| ug, o | Naghiusa sa daghang mga pagsala sa usa ka mando. |
| dili kaayo labi | Ang mga pakete sa output nga gamay o kadako sa gitino nga gidak-on |
Ang tanan nga mga filter sa ibabaw mahimong mahiusa sa usag usa, mao nga sa pagpagawas sa mando makita ra nimo ang kasayuran nga gusto nimo makita. Aron masabtan sa mas detalyado ang paggamit sa mga labaw sa mga pagsala, angay nga maghatag mga pananglitan.
Tan-awa usab: Kanunay nga Gigamit nga mga Sugo sa Linux Terminal
Mga Ehemplo sa Paggamit
Ang kanunay nga gigamit nga mga kapilian sa syntax alang sa tcpdump command ipakita na karon. Tanan sila dili malista, tungod kay adunay usa ka walay kinutuban nga gidaghanon sa ilang mga kalainan.
Pagtan-aw sa usa ka lista sa mga interface
Gisugyot nga us aka susihon sa matag tiggamit ang lista sa tanan sa iyang mga interface sa network nga mahimong masubay. Gikan sa lamesa sa ibabaw nahibal-an namon nga alang niini kinahanglan nimo gamiton ang kapilian -D, busa sa terminal, pagdagan ang mosunud nga mando:
sudo tcpdump -D
Usa ka pananglitan:
Sama sa imong nakita, ang panig-ingnan adunay walo ka mga interface nga mahimong makit-an gamit ang tcpdump mando. Magahatag ang artikulo og mga pananglitan ppp0Mahimo nimo gamiton ang bisan unsang lain.
Ang normal nga pagdakop sa trapiko
Kung kinahanglan nimo nga masundan ang usa ka interface sa network, mahimo nimo kini nga gamiton ang kapilian -i. Ayaw kalimti ang pagsulod sa ngalan sa interface pagkahuman sa pagsulod niini. Ania ang usa ka pananglitan sa ingon nga usa ka sugo:
sudo tcpdump -i ppp0
Palihug hinumdomi: sa wala pa ang sugo kinahanglan nimo nga mosulod sa "sudo", tungod kay kini nanginahanglan mga katungod sa superuser.
Usa ka pananglitan:
Hinumdumi: pagkahuman sa pagpadayon sa Pagsulud sa "Terminal", ang mga intercepted packet nga ipakita kanunay. Aron mapugngan ang ilang pag-agos, kinahanglan nimo nga pugngan ang yawi nga kombinasyon Ctrl + C.
Kung gipatuman nimo ang mando nga wala’y dugang nga mga kapilian ug mga filter, imong makita ang mosunud nga format alang sa pagpakita sa gi-monitor nga mga packet:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Mga bandila [P.], seq 1: 595, ack 1118, pagdaog 6494, mga kapilian [nop, nop, TS val 257060077 ecr 697597623], gitas-on 594
Kung diin ang kolor gipasiugda:
- asul - ang oras sa pagdawat sa pakete;
- orange - bersyon sa protocol;
- berde - address sa nagpadala;
- violet - ang adres sa nakadawat;
- abuhon - dugang nga kasayuran bahin sa tcp;
- gidak-on nga pula - pakete (gipakita sa mga bait).
Kini nga syntax adunay abilidad sa pagpakita sa usa ka bintana. "Terminal" nga dili mogamit dugang nga mga kapilian.
Ang pagkuha sa trapiko nga kapilian sa -v
Ingon sa nahibal-an gikan sa lamesa, ang kapilian -v nagtugot kanimo sa pagdugang sa gidaghanon sa kasayuran. Atong kuhaon ang usa ka pananglitan. Susihon ang parehas nga interface:
sudo tcpdump -v -i ppp0
Usa ka pananglitan:
Dinhi makita nimo nga ang mosunud nga linya nagpakita sa output:
IP (ihulog 0x0, ttl 58, id 30675, offset 0, mga bandila [DF], proto TCP (6), gitas-on 52
Kung diin ang kolor gipasiugda:
- orange - bersyon sa protocol;
- asul - protocol lifespan;
- berde - ang gitas-on sa header sa umahan;
- purpura - bersyon sa pakete sa tcp;
- gidak-on nga pula - pakete.
Usab sa utok syntax mahimo ka magsulat usa ka kapilian -vv o -vvv, nga madugangan pa ang gidaghanon sa kasayuran nga gipakita sa screen.
Ang kapilian -w ug -r
Ang lamesa sa mga kapilian gihisgutan ang abilidad sa pagtipig sa tanan nga output sa usa ka bulag nga file aron mahimo nimo kini tan-awon sa ulahi. Ang kapilian mao ang responsable alang niini. -w. Ang paggamit yano ra yano, ipasabut lamang kini sa mando, ug dayon isulod ang ngalan sa umaabot nga file nga adunay extension ".pcap". Atong tan-awon ang usa ka pananglitan:
sudo tcpdump -i ppp0 -w file.pcap
Usa ka pananglitan:
Palihug timan-i: samtang ang pagsulat mga troso sa usa ka file, wala’y teksto nga gipakita sa screen nga "Terminal".
Kung gusto nimo nga tan-awon ang narekord nga output, kinahanglan nimo gamiton ang kapilian -r, pagkahuman isulat ang ngalan sa na-record nga file. Gigamit kini nga wala’y ubang kapilian ug mga pagsala:
sudo tcpdump -r file.pcap
Usa ka pananglitan:
Ang duha sa kini nga mga kapilian maayo sa mga kaso diin kinahanglan nimo nga makatipig daghang mga teksto alang sa pag-parse sa ulahi.
Pagsala sa IP
Gikan sa lamesa sa pagsala nahibal-an namon kana dst nagtugot kanimo sa pagpakita sa console screen lamang kadtong mga pakete nga nadawat pinaagi sa adres nga gitino sa command syntax. Sa ingon, sayon ra kaayo nga tan-awon ang mga pakete nga nadawat sa imong computer. Aron mahimo kini, kinahanglan nga ipahiangay sa team ang IP address niini:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Usa ka pananglitan:
Ingon sa imong makita, gawas dst, nakarehistro usab kami usa ka filter sa team ip. Sa ato pa, gisultihan namon ang kompyuter nga kung ang pagpili sa mga packet hatagan pagtagad ang ilang IP address, ug dili sa ubang mga parameter.
Pinaagi sa IP, mahimo usab nimo ma-filter ang mga outgoing packet. Hatagan namon pag-usab ang among IP sa pananglitan. Kana mao, karon masundan namon kung unsang mga packet ang gipadala gikan sa among computer ngadto sa ubang mga adres. Aron mahimo kini, pagdagan ang mosunod nga mando:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Usa ka pananglitan:
Sama sa imong nakita, sa command syntax gibag-o namon ang pagsala dst sa src, sa ingon nagsulti sa makina nga magpangita usa ka nagpadala sa IP.
HOST Pagsala
Pinaagi sa pagtandi sa IP sa mando, mahimo naton mahibal-an ang usa ka filter hostaron ma-filter ang mga packet nga adunay host sa interes. Kana mao, sa syntax, imbis ang IP address sa nagpadala / tigdawat, kinahanglan nimo nga ipunting ang host niini. Kini makita sama niini:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Usa ka pananglitan:
Sa imahe imong makita kana sa "Terminal" kanang mga pakete nga gipadala gikan sa among IP sa google.com host ang gipakita. Ingon sa imong masabtan, imbis sa google host, mahimo ka makasulod sa bisan unsang lain.
Sama sa pagsala sa IP, ang syntax dst mahimong pulihan srcAron makita ang mga pakete nga gipadala sa imong computer:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Hinumdumi: ang filter sa host kinahanglan human sa dst o src, kung dili, ang mando maghabol sa usa ka sayup. Sa kaso sa pag-filter sa IP, sa sukwahi, ang dst ug src naa sa atubangan sa ip filter.
Paggamit sa ug ug o o pagsala
Kung kinahanglan nimo nga magamit ang daghang mga pagsala sa usa ka mando sa usa ka higayon, nan kinahanglan nimo nga mag-apply usa ka filter ug o o (nakasalalay sa kaso). Pinaagi sa paghingalan sa mga filter sa syntax ug pagbulag sa mga kini nga mga operator, buhaton nimo sila nga magtrabaho isip usa. Pananglitan, ingon niini:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 o ip src 95.47.144.254
Usa ka pananglitan:
Ang command syntax nagpakita kung unsa ang gusto naton ipakita "Terminal" ang tanan nga mga pakete nga gipadala aron matubag ang 95.47.144.254 ug mga pakete nga nadawat sa parehas nga adres. Mahimo usab nimo usbon ang pipila nga mga variable sa kini nga ekspresyon. Pananglitan, imbis sa IP, ipunting ang HOST o direkta nga gipuli ang mga adres sa ilang kaugalingon.
Pagsala sa port ug portrange
Pagsala pantalan perpekto sa mga kaso diin kinahanglan nimo nga makakuha kasayuran bahin sa mga pakete nga adunay usa ka piho nga pantalan. Mao nga, kung kinahanglan nimo nga makita ang mga tubag o mga pangutana sa DNS, kinahanglan nimo nga ipasabut ang port 53:
sudo tcpdump -vv -i ppp0 port 53
Usa ka pananglitan:
Kung gusto nimo nga makit-an ang mga pakete nga http, kinahanglan nimo nga mosulod sa port 80:
sudo tcpdump -vv -i ppp0 port 80
Usa ka pananglitan:
Lakip sa ubang mga butang, posible nga masubay dayon ang nagkalainlaing mga pantalan. Ang filter gipadapat alang niini. paghulagway:
Ang sudo tcpdump portrange 50-80
Sama sa imong nakita, kauban ang filter paghulagway gikinahanglan nga mga kapilian ang kinahanglan. I-set up ang range.
Pagsala sa Protocol
Mahimo usab nimo ipakita ang trapiko nga nahiuyon sa bisan unsang protocol. Aron mahimo kini, gamita ang ngalan sa kini nga protocol ingon usa ka filter. Atong tan-awon ang usa ka pananglitan udp:
sudo tcpdump -vvv -i ppp0 udp
Usa ka pananglitan:
Ingon sa imong makita sa imahe, human gipatuman ang mando sa "Terminal" mga pakete nga adunay protocol lang ang gipakita udp. Ingon niana, mahimo nimong i-filter ang uban, pananglitan, arp:
sudo tcpdump -vvv -i ppp0 arp
o tcp:
sudo tcpdump -vvv -i ppp0 tcp
Net filter
Operator pukot motabang sa mga filter packet base sa ilang designation sa network. Ang paggamit niini ingon ka simple sama sa nahabilin - kinahanglan nimo nga ipunting ang usa ka hiyas sa syntax pukot, dayon isulud ang address sa network. Ania ang usa ka pananglitan sa ingon nga usa ka sugo:
sudo tcpdump -i ppp0 net 192.168.1.1
Usa ka pananglitan:
Pag-filter sa gidak-on sa packet
Wala namon hunahunaa ang duha nga labi ka makapaikag nga mga pagsala: dili kaayo ug labi ka dako. Gikan sa lamesa nga adunay mga pagsala, nahibal-an namon nga sila nagsilbi sa mga packet data nga mas daghan (dili kaayo) o dili kaayo (labi ka dako) ang gidak-on nga gipiho pagkahuman sa pagsulod sa hiyas
Pananglit gusto namon nga ma-monitor lamang ang mga pakete nga dili molabaw sa marka nga 50-bit, nan ang mando ingon niini:
sudo tcpdump -i ppp0 dili kaayo 50
Usa ka pananglitan:
Karon ipakita sa "Terminal" mga pakete nga labi pa sa 50 bits:
sudo tcpdump -i ppp0 labi ka 50
Usa ka pananglitan:
Sama sa imong nakita, kini gipadapat sa parehas nga paagi, ang bugtong kalainan naa sa ngalan sa filter.
Panapos
Sa katapusan sa artikulo, makahinapos kita nga ang team tcpdump - Kini usa ka maayo kaayo nga himan diin mahimo nimong sundon ang bisan unsang packet data nga gipadala sa Internet. Apan alang niini dili igo nga igo ra ang pagsulod sa mando mismo "Terminal". Ang gitinguha nga resulta makuha ra kung gamiton nimo ang tanan nga mga kapilian ug mga pagsala, maingon man ang ilang mga kombinasyon.
