Nëse keni nevojë të analizoni ose të përgjoni paketat e rrjetit në Linux, është më mirë të përdorni softuerin e konsolës për këtë. tcpdump. Por problemi lind në menaxhimin e tij mjaft të ndërlikuar. Do të duket e papërshtatshme për një përdorues të zakonshëm të punojë me shërbimet, por kjo është vetëm në shikim të parë. Artikulli do të shpjegojë se si është organizuar tcpdump, çfarë sintakse ka, si ta përdorë atë, dhe do të jepen shembuj të shumtë të përdorimit të saj.
Shih gjithashtu: Tutorials për ngritjen e një lidhjeje në Internet në Ubuntu, Debian, Ubuntu Server
instalim
Shumica e zhvilluesve të sistemeve operative të bazuara në Linux përfshijnë shërbimin tcpdump në listën e atyre të paravendosura, por nëse për ndonjë arsye nuk është në shpërndarjen tuaj, gjithmonë mund ta shkarkoni dhe instaloni nëpërmjet "Terminal". Nëse OS juaj bazohet në Debian, dhe kjo është Ubuntu, Linux Mint, Kali Linux dhe si, ju duhet të kryeni këtë komandë:
sudo apt instalo tcpdump
Kur instaloni, duhet të futni një fjalëkalim. Ju lutem vini re se kur shtypni nuk është shfaqur, gjithashtu për të konfirmuar instalimin, duhet të futni karakterin "D" dhe shtypni hyj.
Nëse keni Red Hat, Fedora ose CentOS, komanda e instalimit do të duket kështu:
sudo yam instaloni tcpdump
Pas instalimit të softuerit, mund ta përdorni menjëherë. Kjo dhe shumë më tepër do të diskutohet më vonë në tekst.
Shihni gjithashtu: Udhëzuesi i Instalimit PHP për Ubuntu Server
sintaksë
Ashtu si çdo komandë tjetër, tcpdump ka sintaksën e vet. Duke e ditur atë, mund të caktoni të gjithë parametrat e nevojshëm që do të merren parasysh gjatë ekzekutimit të komandës. Sintaksa është:
opsionet tcpdump -i filtrat e ndërfaqes
Kur përdorni komandën, duhet të specifikoni ndërfaqen për të ndjekur. Filtrat dhe opsionet nuk janë variabla të detyrueshëm, por ato lejojnë konfigurim më fleksibël.
options
Megjithëse nuk është e nevojshme të specifikoni opsionin, është ende e nevojshme të rendisni ato në dispozicion. Tabela nuk tregon të gjithë listën e tyre, por vetëm ato më të njohura, por ato janë më se të mjaftueshme për të zgjidhur shumicën e detyrave.
| alternativë | përcaktim |
|---|---|
| -A | Ju lejon të zgjidhni pakot në format ASCII |
| -l | Shton një funksion të lëvizjes. |
| -i | Pas hyrjes ju duhet të specifikoni ndërfaqen e rrjetit që do të monitorohet. Për të filluar ndjekjen e të gjitha lidhjeve, shtypni fjalën "çdo" pas opsionit. |
| -c | Përfundon procesin e ndjekjes pas kontrollimit të numrit të caktuar të paketave. |
| -w | Gjeneron një skedar teksti me një raport verifikimi. |
| -e | Shfaq nivelin e lidhjes në internet të paketës së të dhënave. |
| -L | Shfaq vetëm ato protokollë që mbështeten nga ndërfaqja e caktuar e rrjetit. |
| -C | Krijon një skedar tjetër gjatë shkrimit të një pakete nëse madhësia e saj është më e madhe se ajo e specifikuar. |
| -r | Hap një skedar për leximin që u krijua me opsionin -w. |
| -J | Formati TimeStamp do të përdoret për regjistrimin e paketave. |
| -J | Ju lejon të shihni të gjitha formatet e disponueshme TimeStamp |
| -G | Përdoret për të krijuar një skedar me shkrimet. Opcioni gjithashtu kërkon një vlerë të përkohshme, pas së cilës do të krijohet një regjistër i ri |
| -v, -vv, -vvv | Në varësi të numrit të karaktereve në opsion, rezultati i komandës do të bëhet më i hollësishëm (një rritje është në proporcion me numrin e karaktereve) |
| -f | Output tregon emrin e domain të adresës IP |
| -F | Ju lejon të lexoni informacione jo nga ndërfaqja e rrjetit, por nga skedari i specifikuar |
| -D | Demonstron të gjitha ndërfaqet e rrjetit që mund të përdoren. |
| -N | Çaktivizon shfaqjen e emrave të domain-it |
| -Z | Specifikon përdoruesin nën të cilin do të krijohen të gjitha skedarët. |
| -K | Lëshoni analizën e checksum |
| Q | Demonstrimi i informatave të shkurtra |
| -H | Zbulon headers 802.11s |
| -I | Përdoret kur kapni paketa në regjimin e monitorimit. |
Duke shqyrtuar mundësitë, më poshtë i drejtohemi drejtpërdrejt aplikacioneve të tyre. Ndërkohë, filtrat do të merren parasysh.
filtra
Siç u përmend në fillim të artikullit, ju mund të shtoni filtra në sintaksën tcpdump. Tani më të njohurat prej tyre do të konsiderohen:
| filtër | përcaktim |
|---|---|
| mikpritës | Specifikon emrin e strehuesit. |
| neto | Specifikon nën-rrjetin dhe rrjetin IP |
| ip | Specifikon adresën e protokollit |
| src | Shfaq paketat që janë dërguar nga adresa e specifikuar |
| DST | Shfaq paketat që janë marrë nga adresa e specifikuar. |
| arp, udp, tcp | Filtrim nga një prej protokolleve |
| port | Shfaq informacion në lidhje me një port të veçantë. |
| dhe, ose | Përdoret për të kombinuar filtra të shumtë në një komandë. |
| më pak, më të mëdha | Paketat e prodhimit më të vogla ose më të mëdha se madhësia e specifikuar |
Të gjitha filtrat e mësipërm mund të kombinohen me njëri-tjetrin, prandaj në lëshimin e një komande ju do të vëzhgoni vetëm informacionin që dëshironi të shihni. Për të kuptuar me hollësi përdorimin e filtrave të mësipërm, ia vlen të jepni shembuj.
Shihni gjithashtu: Komandat e përdorura shpesh në Linux Terminal
Shembuj të përdorimit
Tani do të renditen opsionet e përdorura shpesh në sintaksë tcpdump. Të gjithë ata nuk mund të renditen, pasi ndryshimet e tyre mund të jenë të pafundme.
Shikoni listën e ndërfaqes
Rekomandohet që secili përdorues fillimisht të kontrollojë listën e të gjitha ndërfaqeve të tij të rrjetit që mund të gjurmohen. Nga tabela e mësipërme e dimë se për këtë ju duhet të përdorni opsionin -D, prandaj në terminal të drejtuar komandën e mëposhtme:
sudo tcpdump -D
shembull:
Siç mund ta shihni, ekzistojnë tetë ndërfaqe në shembullin që mund të shikohet duke përdorur komandën tcpdump. Artikulli do të japë shembuj të ppp0, ju mund të përdorni ndonjë tjetër.
Grabitje normale e trafikut
Nëse keni nevojë për të gjetur një ndërfaqe të vetme të rrjetit, mund ta bëni këtë me opsionin -i. Mos harroni të futni emrin e ndërfaqes pas hyrjes në të. Këtu është një shembull i ekzekutimit të një komande të tillë:
sudo tcpdump -i ppp0
Ju lutemi vini re: duhet të futni "sudo" para vetë komandës, pasi ajo kërkon të drejtën e superuser.
shembull:
Shënim: pasi të shtypni Enter në "Terminal", paketat e përgjuara do të shfaqen vazhdimisht. Për të ndalur rrjedhën e tyre, duhet të shtypni kombinimin e tasteve Ctrl + C.
Nëse e drejtoni komandën pa mundësi dhe filtra shtesë, do të shihni formatin e mëposhtëm për shfaqjen e paketave të ndjekura:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flamujt [P.], seq 1: 595, ack 1118, fitojnë 6494, opsione [nop, nop, TS val 257060077 ecr 697597623], gjatësia 594
Ku ngjyra është e theksuar:
- blu - koha e marrjes së paketës;
- portokalli - versioni i protokollit;
- adresa jeshile e dërguesit;
- vjollcë - adresa e marrësit;
- gri - informacion shtesë për tcp;
- madhësia e kuqe - pako (shfaqet në bytes).
Kjo sintaksë ka aftësinë për të nxjerrë në dritare "Terminal" pa përdorimin e opsioneve shtesë.
Kapni trafikun me opsion -v
Siç dihet nga tabela, opsioni -V ju lejon të rrisni sasinë e informacionit. Le të shqyrtojmë një shembull. Kontrolloni të njëjtën ndërfaqe:
sudo tcpdump -v -i ppp0
shembull:
Këtu mund të shihni se vijën e mëposhtme u shfaq në prodhim:
IP (tos 0x0, ttl 58, id 30675, kompensuar 0, flamuj [DF], proto TCP (6), gjatësia 52
Ku ngjyra është e theksuar:
- portokalli - versioni i protokollit;
- blu - jeta e protokollit;
- jeshile - gjatësia e kokës së fushës;
- vjollcë - versioni i paketës tcp;
- madhësia e paketës së kuqe.
Gjithashtu në sintaksën e komandës mund të shkruani opsionin -vv ose -vvv, e cila do të rrisë më tej sasinë e informacionit të shfaqur në ekran.
Opsioni -w dhe -r
Tabela e opsioneve përmendi mundësinë e ruajtjes së të gjitha të dhënave të prodhimit në një skedar të veçantë në mënyrë që ato të mund të shihen më vonë. Opcioni është përgjegjës për këtë. -w. Është mjaft e thjeshtë për t'u përdorur, vetëm futni atë në komandë dhe pastaj futni emrin e skedës së ardhshme me zgjatjen ".Pcap". Konsideroni të gjithë shembullin:
sudo tcpdump -i ppp0 -w file.pcap
shembull:
Ju lutem vini re: gjatë shkrimit të regjistrave në një skedar, asnjë tekst nuk shfaqet në ekranin "Terminal".
Kur dëshironi të shihni daljen e regjistruar, ju duhet të përdorni opsionin -rpasuar nga emri i skedarit të regjistruar më parë. Aplikohet pa opsionet dhe filtrat e tjera:
sudo tcpdump -r file.pcap
shembull:
Të dyja këto opsione janë perfekte në rastet kur duhet të ruani sasi të mëdha të tekstit për analizë të mëvonshme.
IP filtrim
Nga tryeza e filtrave, e dimë këtë DST ju lejon të shfaqni në ekranin e konsolve vetëm ato paketa që janë marrë nga adresa e specifikuar në sintaksën e komandës. Kështu, është shumë i përshtatshëm për të parë paketat e pranuara nga kompjuteri juaj. Për ta bërë këtë, ekipi duhet vetëm të përcaktojë adresën tuaj IP:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
shembull:
Siç mund ta shihni, përveç kësaj DST, në ekip, ne gjithashtu e regjistruam filtrin ip. Me fjalë të tjera, ne i thamë kompjuterit se kur përzgjedhja e paketave, ai do t'i kushtonte vëmendje adresës së tyre IP dhe jo parametrave të tjerë.
Me IP, ju mund të filtroni dhe dërgoni paketa. Në shembullin që japim IP-në tonë përsëri. Kjo është, ne do të ndjekim tani cilat pako janë dërguar nga kompjuteri ynë në adresa të tjera. Për ta bërë këtë, kryeni komandën e mëposhtme:
sudo tcpdump -i ppp0 ip src 10.0.6.67
shembull:
Siç mund ta shihni, kemi ndryshuar filtrin në sintaksën e komandës. DST në src, duke i thënë makinës që të kërkojë dërguesin me IP.
HOST filtrim
Për analogji me IP në ekip, ne mund të specifikojmë një filtër mikpritëspër të pastruar pako me një mori interesash. Kjo është, në sintaksë, në vend të adresës IP të dërguesit / pranuesit, ju duhet të specifikoni hostin e tij. Duket kështu:
sudo tcpdump -i ppp0 host dst google-public-dns-a.google.com
shembull:
Në imazh ju mund të shihni se në "Terminal" Shfaqen vetëm ato paketa që u dërguan nga IP-ja tonë në hostin google.com. Siç mund ta shikoni, në vend të hostit google, mund të futni ndonjë tjetër.
Ashtu si me filtrimin IP, sintaksa është: DST mund të zëvendësohet nga srcPër të parë paketat që dërgohen në kompjuterin tuaj:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Shënim: filtri pritës duhet të jetë pas dst ose src, përndryshe komanda do të gjenerojë një gabim. Në rastin e filtrimit IP, përkundrazi, dst dhe src janë para filtrit ip.
Filtri dhe dhe dhe
Nëse keni nevojë të përdorni disa filtra në të njëjtën kohë në një komandë, atëherë duhet të aplikoni një filtër. dhe ose ose (varet nga rasti). Duke specifikuar filtrat në sintaksë dhe duke i ndarë ato me këto deklarata, ju "bëni" punën si një. Në një shembull, duket kështu:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 ose ip src 95.47.144.254
shembull:
Nga sintaksi i komandës mund të shihni se ne duam të shfaqim "Terminal" të gjitha paketat që janë dërguar në adresën 95.47.144.254 dhe paketat e pranuara nga adresa e njëjtë. Ju gjithashtu mund të ndryshoni disa variabla në këtë shprehje. Për shembull, në vend të IP, specifikoni HOST ose zëvendni direkt vetë adresat.
Port Filter dhe portrange
filtër port perfekt për kur ju duhet të merrni informacione rreth paketave me një port të veçantë. Pra, nëse ju duhet vetëm të shihni përgjigjet ose pyetjet DNS, ju duhet të specifikoni portin 53:
sudo tcpdump -vv -i ppp0 port 53
shembull:
Nëse dëshironi të shikoni pakot http, ju duhet të futni portin 80:
sudo tcpdump -vv -i ppp0 port 80
shembull:
Ndër të tjera, është e mundur të gjurmohen menjëherë vargjet e porteve. Për ta bërë këtë, aplikoni filtrin portrange:
sudo tcpdump portrange 50-80
Siç mund ta shihni, në lidhje me filtrin portrange Nuk është e nevojshme të specifikohen opsionet shtesë. Vetëm vendosni vargun.
Filtrimi i protokollit
Gjithashtu mund të shfaqni vetëm trafikun që korrespondon me ndonjë protokoll. Për ta bërë këtë, përdorni emrin e këtij protokolli si një filtër. Le të shohim një shembull UDP:
sudo tcpdump -vvv -i ppp0 udp
shembull:
Siç mund ta shihni në imazh, pas ekzekutimit të komandës "Terminal" u shfaqën vetëm paketat me protokoll UDP. Prandaj, ju mund të filtroni nga të tjerët, për shembull, ARP:
sudo tcpdump -vvv -i ppp0 arp
ose TCP:
sudo tcpdump -vvv -i ppp0 tcp
Rrjeti i filtrit
operator neto ndihmon filtrimin e paketave bazuar në përcaktimin e rrjetit të tyre. Është po aq e lehtë për t'u përdorur si pjesa tjetër - ju duhet të specifikoni atributin në sintaksë neto, pastaj futni adresën e rrjetit. Këtu është një shembull i një komande të tillë:
sudo tcpdump -i ppp0 neto 192.168.1.1
shembull:
Filtro sipas madhësisë së paketës
Ne nuk kemi konsideruar dy filtra më interesante: më pak dhe më e madhe. Nga tabela me filtra, e dimë se ato shërbejnë për të prodhuar më shumë paketa të dhënash (më pak) ose më pak (më e madhe) Madhësia e specifikuar pas atributit është futur.
Supozoni se ne vetëm duam të monitorojmë pako që nuk i kalojnë 50 bit, atëherë komanda do të duket kështu:
sudo tcpdump -i ppp0 më pak 50
shembull:
Tani le të shfaqim "Terminal" pako më të mëdha se 50 bit:
sudo tcpdump -i ppp0 më i madh 50
shembull:
Siç mund ta shihni, ato përdoren në mënyrë të barabartë, e vetmja ndryshim është në emër të filtrit.
përfundim
Në fund të artikullit mund të konkludojmë se ekipi tcpdump - Ky është një mjet i madh me të cilin mund të gjurmoni çdo paketë të dhënash të transmetuar në Internet. Por për këtë nuk mjafton vetëm të hysh në komandën "Terminal". Për të arritur rezultatin e dëshiruar do të merret vetëm nëse përdorni të gjitha llojet e opsioneve dhe filtrave, si dhe kombinimet e tyre.
