Kung kailangan mong suriin o maharang ang mga packet ng network sa Linux, pinakamahusay na gamitin ang console utility para dito. tcpdump. Ngunit ang problema ay lumalabas sa halip kumplikadong pamamahala nito. Tila hindi kaakit-akit para sa isang ordinaryong gumagamit na magtrabaho kasama ang utility, ngunit ito ay lamang sa unang sulyap. Ang artikulo ay magpapaliwanag kung paano nakaayos ang tcpdump, kung ano ang syntax nito, kung paano gamitin ito, at maraming mga halimbawa ng paggamit nito ay bibigyan.
Tingnan din ang: Mga Tutorial para sa pag-set up ng koneksyon sa Internet sa Ubuntu, Debian, Ubuntu Server
Pag-install
Karamihan sa mga nag-develop ng mga operating system na nakabatay sa Linux ay kasama ang utility na tcpdump sa listahan ng mga naunang naka-install, ngunit kung sa ilang kadahilanan ay wala ito sa iyong pamamahagi, maaari mong laging i-download at i-install ito sa pamamagitan ng "Terminal". Kung ang iyong OS ay batay sa Debian, at ito ang Ubuntu, Linux Mint, Kali Linux at iba pa, kailangan mong patakbuhin ang utos na ito:
sudo apt install tcpdump
Kapag nag-install kailangan mong magpasok ng isang password. Mangyaring tandaan na kapag hindi naipakita ang pag-type nito, upang kumpirmahin ang pag-install, kailangan mong ipasok ang character "D" at pindutin Ipasok.
Kung mayroon kang Red Hat, Fedora o CentOS, ang pag-install na utos ay magiging ganito:
sudo yam install tcpdump
Pagkatapos ma-install ang utility, maaari mong agad itong gamitin. Ito at higit pa ay tatalakayin mamaya sa teksto.
Tingnan din ang: Gabay sa Pag-install ng PHP para sa Ubuntu Server
Syntax
Tulad ng anumang iba pang mga utos, tcpdump ay may sariling syntax. Pag-alam sa kanya, maaari mong itakda ang lahat ng mga kinakailangang parameter na dadalhin sa account kapag isinasagawa ang command. Ang syntax ay:
Mga pagpipilian sa tcpdump -I interface ng filter
Kapag ginagamit ang command, kailangan mong tukuyin ang interface upang masubaybayan. Ang mga filter at mga opsyon ay hindi sapilitan na mga variable, ngunit pinahihintulutan nila ang mas maraming kakayahang umangkop na pagsasaayos.
Mga Opsyon
Kahit na hindi kinakailangan upang tukuyin ang opsyon, kinakailangan pa rin na ilista ang mga magagamit. Ang talahanayan ay hindi nagpapakita ng kanilang buong listahan, ngunit tanging ang mga pinakapopular na, subalit sila ay higit pa sa sapat upang malutas ang karamihan sa mga gawain.
| Pagpipilian | Kahulugan |
|---|---|
| -A | Pinapayagan kang mag-uri-uriin ang mga pakete sa ASCII na format |
| -l | Nagdadagdag ng function ng scroll. |
| -i | Pagkatapos ng pagpasok kailangan mong tukuyin ang interface ng network na susubaybayan. Upang simulan ang pagsubaybay sa lahat ng mga interface, i-type ang salitang "anumang" pagkatapos ng pagpipilian. |
| -c | Kumpletuhin ang proseso ng pagsubaybay pagkatapos masuri ang tinukoy na bilang ng mga pakete. |
| -w | Bumubuo ng isang text file na may ulat ng pag-verify. |
| -e | Ipinapakita ang antas ng koneksyon sa internet ng packet ng data. |
| -L | Nagpapakita lamang ang mga protocol na sinusuportahan ng tinukoy na interface ng network. |
| -C | Lumilikha ng isa pang file habang sumusulat ng isang pakete kung ang laki nito ay mas malaki kaysa sa tinukoy na isa. |
| -r | Binubuksan ang isang file para sa pagbabasa na nilikha gamit ang pagpipiliang -w. |
| -j | Ang format ng TimeStamp ay gagamitin para sa mga pag-record ng mga pakete. |
| -J | Pinapayagan kang tingnan ang lahat ng magagamit na mga format na TimeStamp |
| -G | Ginamit upang lumikha ng isang file na may mga tala. Ang opsyon ay nangangailangan din ng pansamantalang halaga, at pagkatapos ay malilikha ang isang bagong log |
| -v, -vv, -vvv | Depende sa bilang ng mga character sa opsyon, ang output ng command ay magiging mas detalyado (ang pagtaas ay direktang proporsyonal sa bilang ng mga character) |
| -f | Ang output ay nagpapakita ng domain name ng IP address |
| -F | Pinapayagan kang magbasa ng impormasyon hindi mula sa interface ng network, ngunit mula sa tinukoy na file |
| -D | Nagpapakita ng lahat ng mga interface ng network na maaaring magamit. |
| -n | Tinatanggal ang pagpapakita ng mga pangalan ng domain |
| -Z | Tinutukoy ang user sa ilalim ng kung aling account ang lahat ng mga file ay malilikha. |
| -K | Laktawan ang pagsusuri ng checksum |
| -q | Pagpapakita ng maikling impormasyon |
| -H | Nakikita ng 802.11s header |
| -I | Ginamit kapag nakakuha ng mga packet sa monitor mode. |
Na napagmasdan ang mga opsyon, sa ibaba ay direktang bumaling kami sa kanilang mga application. Samantala, ituturing na mga filter.
Mga Filter
Tulad ng nabanggit sa pinakadulo simula ng artikulo, maaari kang magdagdag ng mga filter sa tcpdump syntax. Ngayon ang pinakasikat sa kanila ay ituturing na:
| Salain | Kahulugan |
|---|---|
| host | Tinutukoy ang pangalan ng host. |
| net | Tinutukoy ang subnet at network ng IP |
| ip | Tinutukoy ang protocol address |
| src | Nagpapakita ng mga packet na ipinadala mula sa tinukoy na address |
| dst | Nagpapakita ng mga packet na natanggap ng tinukoy na address. |
| arp, udp, tcp | Pag-filter ng isa sa mga protocol |
| port | Nagpapakita ng impormasyon na may kaugnayan sa isang tukoy na port. |
| at, o | Ginagamit upang pagsamahin ang maramihang mga filter sa isang command. |
| mas mababa, mas malaki | Ang mga pakete ng Output ay mas maliit o mas malaki kaysa sa tinukoy na laki |
Ang lahat ng mga filter sa itaas ay maaaring pagsamahin sa isa't isa, kaya sa pagbibigay ng isang utos malalaman mo lang ang impormasyon na nais mong makita. Upang maunawaan nang mas detalyado ang paggamit ng mga filter sa itaas, ito ay nagkakahalaga ng pagbibigay ng mga halimbawa.
Tingnan din ang: Mga Madalas na Ginamit na Mga Utos sa Linux Terminal
Mga halimbawa ng paggamit
Madalas na nakalista ang mga madalas na ginagamit na mga pagpipilian sa syntax ng tcpdump. Ang lahat ng mga ito ay hindi maaaring nakalista, dahil ang kanilang mga pagkakaiba-iba ay maaaring walang katapusan.
Tingnan ang listahan ng interface
Inirerekomenda na ang bawat user ay unang suriin ang listahan ng lahat ng kanyang mga interface ng network na maaaring masubaybayan. Mula sa talahanayan sa itaas alam namin na para sa mga ito kailangan mong gamitin ang pagpipilian -D, kaya sa terminal tumakbo ang sumusunod na command:
sudo tcpdump -D
Halimbawa:
Tulad ng makikita mo, may walong mga interface sa halimbawa na maaaring matingnan gamit ang tcpdump command. Ang artikulo ay magbibigay ng mga halimbawa ng ppp0, maaari mong gamitin ang anumang iba pang.
Normal na pagkuha ng trapiko
Kung kailangan mo upang subaybayan ang isang solong interface ng network, maaari mong gawin ito gamit ang pagpipilian -i. Huwag kalimutang ipasok ang pangalan ng interface pagkatapos na ipasok ito. Narito ang isang halimbawa ng pagsasagawa ng gayong utos:
sudo tcpdump -i ppp0
Pakitandaan: kailangan mong ipasok ang "sudo" bago ang command mismo, dahil nangangailangan ito ng karapatan ng superuser.
Halimbawa:
Tandaan: pagkatapos ng pagpindot sa Enter sa "Terminal", ang mga intercepted packet ay patuloy na ipapakita. Upang ihinto ang daloy nito, kailangan mong pindutin ang key na kumbinasyon Ctrl + C.
Kung patakbuhin mo ang utos nang walang karagdagang mga pagpipilian at filter, makikita mo ang sumusunod na format para sa pagpapakita ng mga sinubaybayan na mga packet:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], seq 1: 595, ack 1118, manalo 6494, mga pagpipilian [nop, nop, TS val 257060077 ecr 697597623], haba 594
Kung saan naka-highlight ang kulay:
- asul - ang oras ng pagtanggap ng pakete;
- orange - bersyon ng protocol;
- address ng berde - nagpadala;
- lila - ang address ng tatanggap;
- grey - karagdagang impormasyon tungkol sa tcp;
- pulang - laki ng packet (ipinapakita sa bytes).
Ang syntax na ito ay may kakayahang mag-output sa window "Terminal" nang walang paggamit ng mga karagdagang opsyon.
Kunin ang trapiko gamit ang pagpipiliang -v
Tulad ng nakilala mula sa talahanayan, ang pagpipilian -v ay nagbibigay-daan sa iyo upang madagdagan ang halaga ng impormasyon. Isaalang-alang natin ang isang halimbawa. Suriin ang parehong interface:
sudo tcpdump -v -i ppp0
Halimbawa:
Dito makikita mo na ang sumusunod na linya ay lumabas sa output:
IP (tos 0x0, ttl 58, id 30675, offset 0, flags [DF], proto TCP (6), haba 52
Kung saan naka-highlight ang kulay:
- orange - bersyon ng protocol;
- asul - ang buhay ng protocol;
- berde - ang haba ng header ng patlang;
- lilang - bersyon ng paketeng tcp;
- pulang - laki ng packet.
Gayundin sa command syntax maaari mong isulat ang opsyon -vv o -vvv, na higit pang mapapalaki ang dami ng impormasyon na ipinapakita sa screen.
Ang -w at -r na pagpipilian
Binanggit ng talahanayan ng mga pagpipilian ang posibilidad na i-save ang lahat ng data ng output sa isang hiwalay na file upang maaari itong matingnan mamaya. Ang opsyon ay responsable para dito. -w. Ito ay medyo simple na gamitin, ipasok lamang ito sa command at pagkatapos ay ipasok ang pangalan ng hinaharap na file sa extension ".pcap". Isaalang-alang ang lahat ng halimbawa:
sudo tcpdump -i ppp0 -w file.pcap
Halimbawa:
Pakitandaan: habang nagsusulat ng mga log sa isang file, walang teksto ang ipinapakita sa screen na "Terminal".
Kapag nais mong tingnan ang naitala na output, kailangan mong gamitin ang opsyon -rna sinusundan ng pangalan ng dating naitala na file. Inilapat ito nang walang iba pang mga pagpipilian at filter:
sudo tcpdump -r file.pcap
Halimbawa:
Ang parehong mga pagpipilian ay perpekto sa mga kaso kung saan kailangan mong i-save ang mga malalaking halaga ng teksto para sa kasunod na pagtatasa.
Pag-filter ng IP
Mula sa talahanayan ng filter, alam namin iyan dst nagpapahintulot sa iyo na ipakita sa console screen lamang ang mga pakete na natanggap ng address na tinukoy sa syntax ng command. Kaya, ito ay lubos na maginhawa upang makita ang mga packet na natanggap ng iyong computer. Upang gawin ito, kailangan lang ng koponan na tukuyin ang iyong IP address:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Halimbawa:
Tulad ng iyong nakikita, bukod dst, sa koponan, nakarehistro din namin ang filter ip. Sa ibang salita, sinabi namin sa computer na kapag pumipili ng mga packet, siya ay magbayad ng pansin sa kanilang IP address, at hindi sa iba pang mga parameter.
Sa pamamagitan ng IP, maaari kang mag-filter at magpadala ng mga packet. Sa halimbawa binibigyan namin muli ang aming IP. Iyon ay, susubaybayan na natin ngayon kung aling mga packet ang ipinadala mula sa aming computer patungo sa iba pang mga address. Upang gawin ito, patakbuhin ang sumusunod na command:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Halimbawa:
Tulad ng iyong nakikita, binago namin ang filter sa syntax ng command. dst sa src, sa ganyang paraan na nagsasabi sa makina upang maghanap para sa nagpadala sa pamamagitan ng IP.
Pag-filter ng HOST
Sa pamamagitan ng pagkakatulad sa IP sa koponan, maaari naming tukuyin ang isang filter hostupang alisin ang mga packet kasama ang host ng interes. Iyon ay, sa syntax, sa halip ng IP address ng nagpadala / tatanggap, kakailanganin mong tukuyin ang host nito. Mukhang ito:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Halimbawa:
Sa imahe maaari mong makita na sa "Terminal" Tanging ang mga packet na ipinadala mula sa aming IP sa google.com host ay ipinapakita. Tulad ng iyong nakikita, sa halip na google host, maaari kang magpasok ng anumang iba pang.
Tulad ng pag-filter ng IP, ang syntax ay: dst maaaring mapalitan ng srcUpang makita ang mga packet na ipinadala sa iyong computer:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Tandaan: ang filter ng host ay dapat pagkatapos ng dst o src, kung hindi man ang command ay bubuo ng isang error. Sa kaso ng pag-filter ng IP, sa kabilang banda, ang dst at src ay nasa harap ng ip filter.
Salain at at o
Kung kailangan mong gumamit ng ilang mga filter nang sabay-sabay sa isang command, kailangan mong mag-aplay ng filter. at o o (depende sa kaso). Sa pamamagitan ng pagtukoy sa mga filter sa syntax at paghihiwalay ng mga ito sa mga operator na ito, ginagawa mo ang mga ito bilang isang gawain. Sa isang halimbawa, mukhang ganito:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 o ip src 95.47.144.254
Halimbawa:
Mula sa syntax ng command maaari mong makita na nais naming ipakita "Terminal" lahat ng mga packet na ipinadala sa address 95.47.144.254 at mga packet na natanggap ng parehong address. Maaari mo ring baguhin ang ilang mga variable sa expression na ito. Halimbawa, sa halip na IP, tukuyin ang HOST o direktang palitan ang mga address mismo.
Filter port at portrange
Salain port perpekto para sa kapag kailangan mo upang makakuha ng impormasyon tungkol sa mga packet na may partikular na port. Kaya, kung kailangan mo lamang makita ang mga sagot o mga query sa DNS, kailangan mong tukuyin ang port 53:
sudo tcpdump -vv -i ppp0 port 53
Halimbawa:
Kung nais mong tingnan ang mga pakete ng http, kailangan mong ipasok ang port 80:
sudo tcpdump -vv -i ppp0 port 80
Halimbawa:
Sa iba pang mga bagay, posible na subaybayan agad ang hanay ng mga port. Upang gawin ito, ilapat ang filter portrange:
sudo tcpdump portrange 50-80
Tulad ng makikita mo, kasabay ng filter portrange Hindi kinakailangan upang tukuyin ang mga karagdagang opsyon. Itakda lamang ang saklaw.
Protocol Filtering
Maaari mo ring ipakita lamang ang trapiko na tumutugon sa anumang protocol. Upang gawin ito, gamitin ang pangalan ng protocol na ito bilang filter. Tingnan natin ang isang halimbawa udp:
sudo tcpdump -vvv -i ppp0 udp
Halimbawa:
Tulad ng makikita mo sa larawan, pagkatapos na isagawa ang command sa "Terminal" ipinapakita lamang ang mga packet na may protocol udp. Alinsunod dito, maaari mong i-filter ng iba, halimbawa, arp:
sudo tcpdump -vvv -i ppp0 arp
o tcp:
sudo tcpdump -vvv -i ppp0 tcp
Salain ang net
Operator net tumutulong sa pag-filter ng mga packet batay sa pagtatalaga ng kanilang network. Ito ay madaling gamitin bilang ang natitira - kailangan mong tukuyin ang katangian sa syntax net, pagkatapos ay ipasok ang address ng network. Narito ang isang halimbawa ng gayong utos:
sudo tcpdump -i ppp0 net 192.168.1.1
Halimbawa:
I-filter ayon sa laki ng pakete
Hindi namin isinasaalang-alang ang dalawang mas kawili-wiling mga filter: mas mababa at mas malaki. Mula sa talahanayan na may mga filter, alam namin na nagsisilbi sila upang mag-output ng higit pang mga packet ng data (mas mababa) o mas mababa (mas malaki) ang sukat na tinukoy pagkatapos maipasok ang katangian.
Ipagpalagay na nais lamang nating subaybayan ang mga packet na hindi hihigit sa 50 bits, kaya ang ganito ay magiging ganito:
sudo tcpdump -i ppp0 mas mababa 50
Halimbawa:
Ngayon ipaalam sa display "Terminal" Mga packet na mas malaki sa 50 bits:
sudo tcpdump -i ppp0 mas malaki 50
Halimbawa:
Tulad ng makikita mo, ginagamit ang mga ito nang pantay, ang pagkakaiba lamang ay sa pangalan ng filter.
Konklusyon
Sa katapusan ng artikulo maaari naming tapusin na ang koponan tcpdump - Ito ay isang mahusay na tool na kung saan maaari mong subaybayan ang anumang packet ng data na ipinadala sa Internet. Ngunit para sa mga ito ay hindi sapat lamang upang ipasok ang utos mismo sa "Terminal". Upang makamit ang ninanais na resulta ay makuha lamang kung gagamitin mo ang lahat ng mga uri ng mga pagpipilian at filter, pati na rin ang kanilang mga kumbinasyon.
