Si ou bezwen analize oswa segman segman aks dèzè pakè nan Linux, li pi bon yo sèvi ak sèvis piblik la konsole pou sa a. tcpdump. Men, pwoblèm nan rive nan jesyon olye konplike li yo. Li pral sanble konvenyan pou yon itilizatè òdinè nan travay ak sèvis piblik la, men sa a se sèlman nan premye gade. Atik la pral eksplike kijan tchpdump òganize, ki sentaks li genyen, kijan pou itilize li, ak anpil egzanp sou itilizasyon li yo pral bay.
Gade tou: Leson patikilye pou mete kanpe yon koneksyon entènèt nan Ubuntu, Debian, Ubuntu sèvè
Enstalasyon
Pifò devlopè nan sistèm operasyon ki baze sou Linux gen ladan itilite a tcpdump nan lis la nan pre-enstale moun, men si pou kèk rezon li pa nan distribisyon ou, ou ka toujou download yo ak enstale li atravè ... "Tèminal". Si se eksplwatasyon ou ki baze sou dbyan, ak sa a se Ubuntu, Linux Mint, Kali Linux ak renmen an, ou bezwen kouri lòd sa a:
sudo nimewo enstale tcpdump
Lè w ap enstale ou bezwen antre nan yon modpas. Tanpri note ke lè ou tape li pa parèt, tou konfime enstalasyon an, ou dwe antre nan karaktè a "D" ak laprès Antre.
Si ou gen Red Hat, Fedora oswa CentOS, lòd enstalasyon an pral sanble tankou sa a:
sudo yam enstale tcpdump
Apre yo fin sèvis piblik la enstale, ou ka imedyatman itilize li. Sa a ak plis ankò yo pral diskite pita nan tèks la.
Gade tou: Gid Enstalasyon PHP pou sèvè Ubuntu
Sentaks
Tankou nenpòt ki lòt lòd, tcpdump gen sentaks pwòp li yo. Lè ou konnen l ', ou ka mete tout paramèt ki nesesè yo ke yo pral pran an kont lè egzekite lòd la. Sentaks la se:
opsyon tcpdump -i filtè koòdone
Lè w ap itilize lòd la, ou dwe presize koòdone nan tras. Filtè ak opsyon yo pa obligatwa varyab, men yo pèmèt pou konfigirasyon pi fleksib.
Opsyon
Malgre ke li pa nesesè pou presize opsyon sa a, li nesesè toujou pou lis sa ki disponib yo. Tab la pa montre lis tout yo, men se sèlman sa yo ki pi popilè yo, men yo pi plis pase ase yo rezoud pi fò nan travay yo.
| Opsyon | Definisyon |
|---|---|
| -A | Pèmèt ou sòt pakè nan fòma ASCII |
| -L | Ajoute yon fonksyon woulo liv. |
| -i | Apre w fin antre nan ou bezwen presize koòdone nan rezo ki pral kontwole. Pou kòmanse swiv tout interfaces, tape mo "nenpòt ki" apre opsyon an. |
| -c | Konplete pwosesis la swiv apre tcheke nimewo ki espesifye nan pakè. |
| -w | Jenere yon dosye tèks ak yon rapò verifikasyon. |
| -e | Montre nivo koneksyon entènèt pake done a. |
| -L | Montre sèlman sa yo pwotokòl ki te sipòte pa entèfas rezo espesifye. |
| -C | Kreye yon lòt dosye pandan y ap ekri yon pake si gwosè li se pi gwo pase yon sèl la espesifye. |
| -r | Louvri yon dosye pou lekti ki te kreye ak opsyon an -w. |
| -j | Fòma TimeStamp pral itilize pou anrejistreman pakè. |
| -J | Pèmèt ou wè tout fòma ki disponib TimeStamp |
| -G | Itilize pou kreye yon dosye ak mòso bwa. Opsyon an egzije tou pou yon valè tanporè, apre sa yon nouvo boutèy demi lit yo pral kreye |
| -v, -vv, -vvv | Tou depan de ki kantite karaktè nan opsyon an, pwodiksyon an nan lòd la ap vin pi detaye (yon ogmantasyon se pwopòsyonèl dirèkteman avèk kantite karaktè). |
| -f | Pwodiksyon an montre non an domèn nan adrès la IP |
| -F | Pèmèt ou li enfòmasyon pa soti nan koòdone nan rezo a, men soti nan dosye a espesifye |
| -D | Demontre tout rezo entèfas ki ka itilize. |
| -n | Disoud ekspozisyon non domèn yo |
| -Z | Espesifye itilizatè a anba ki kont tout dosye yo pral kreye. |
| -K | Sote analiz tchèk la |
| -q | Demonstrasyon enfòmasyon kout |
| -H | Detekte Tèt 802.11s |
| -I | Itilize lè kaptire pakè nan mòd pou kontwole. |
Èske w gen egzamine opsyon ki disponib nan, anba a nou vire dirèkteman nan aplikasyon yo. Antretan, filtè yo pral konsidere.
Filtè yo
Kòm mansyone nan konmansman an trè nan atik la, ou ka ajoute filtè nan sintaks la tcpdump. Koulye a, ki pi popilè a nan yo ap konsidere:
| Filtre | Definisyon |
|---|---|
| lame | Espesifye non lame a. |
| nèt | Presize IP subnet ak rezo |
| ip | Espesifye adrès pwotokòl la |
| src | Montre pake yo ki te voye soti nan adrès la espesifye |
| dst | Montre pakè yo ki te resevwa pa adrès la espesifye. |
| arp, udp, tcp | Filtraj pa youn nan pwotokòl yo |
| pò | Montre enfòmasyon ki gen rapò ak yon pò espesifik. |
| epi, oswa | Itilize konbine filtè miltip nan yon lòd. |
| mwens, pi gwo | Pakè Sòti ki pi piti oswa pi gwo pase gwosè ki espesifye |
Tout filtè pi wo yo ka konbine youn ak lòt, se konsa nan founi dokiman yo yon lòd ou pral obsève sèlman enfòmasyon ou vle wè. Pou konprann nan plis detay itilize filtè ki anwo yo, li vo bay egzanp.
Gade tou: Kòmandman yo itilize souvan nan Linux Tèminal
Men kèk egzanp sou itilize
Itilize souvan opsyon tcpdump nan sentaks pral nan lis la. Tout moun nan yo pa ka nan lis, depi varyasyon yo ka enfini.
View koòdone lis
Li rekòmande ke chak itilizatè okòmansman tcheke lis la nan tout rezo l 'interfaces ki ka remonte. Soti nan tablo ki anwo a nou konnen ke pou sa a ou bezwen sèvi ak opsyon an -D, Se poutèt sa, nan tèminal la kouri lòd sa a:
sudo tcpdump -D
Egzanp:
Kòm ou ka wè, gen uit interfaces nan egzanp lan ki ka wè yo lè l sèvi avèk lòd la tcpdump. Atik la pral bay egzanp sou ppp0, ou ka itilize nenpòt ki lòt.
Nòmal kaptire trafik la
Si ou bezwen swiv yon koòdone rezo sèl, ou ka fè sa ak opsyon an -i. Pa bliye antre nan non koòdone a apre w fin antre nan li. Isit la se yon egzanp nan egzekite tankou yon lòd:
sudo tcpdump -i ppp0
Tanpri sonje: ou bezwen antre nan "sudo" anvan lòd nan tèt li, depi li mande pou dwa superuser la.
Egzanp:
Remak: apre ou fin peze Antre nan "Tèminal la", pakè yo entèsepte yo pral parèt kontinyèlman. Pou sispann koule yo, ou bezwen peze konbinezon kle a Ctrl + C.
Si ou kouri lòd la san yo pa plis opsyon ak filtè, ou pral wè fòma ki anba la a pou montre pake Suivi:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Drapo [P.], seq 1: 595, ack 1118, genyen 6494, opsyon [nop, nop, TS val 257060077 ecr 697597623], longè 594
Kote koulè a make:
- ble - tan an nan resevwa pake a;
- zoranj - pwotokòl vèsyon;
- vèt - adrès moun k la;
- koulè wouj violèt - adrès moun k ap resevwa a;
- gri - plis enfòmasyon sou tcp;
- wouj - gwosè pake (parèt nan bytes).
Sentaks sa a gen kapasite nan pwodiksyon nan fenèt la "Tèminal" san yo pa itilize nan plis opsyon.
Pran trafik ak opsyon -v la
Kòm se li te ye nan tablo a, opsyon an -v pèmèt ou ogmante kantite enfòmasyon. Ann konsidere yon egzanp. Tcheke koòdone nan menm:
sudo tcpdump -v -i ppp0
Egzanp:
Isit la ou ka wè ke liy sa a parèt nan pwodiksyon an:
IP (tos 0x0, ttl 58, id 30675, konpanse 0, drapo [DF], proto TCP (6), longè 52
Kote koulè a make:
- zoranj - pwotokòl vèsyon;
- ble - lavi pwotokòl la;
- vèt - longè header jaden an;
- koulè wouj violèt - vèsyon an pake a tcp;
- wouj - gwosè pake.
Tou nan sentaks la lòd ou ka ekri opsyon an -vv oswa -vvv, ki pral pli lwen ogmante kantite enfòmasyon ki parèt sou ekran an.
Opsyon -w ak -r
Tab opsyon yo mansyone posibilite pou ekonomize tout done pwodiksyon yo nan yon dosye separe pou yo ka wè yo pita. Opsyon sa a responsab pou sa. -w. Li se byen senp yo itilize, jis antre nan li nan lòd la ak Lè sa a, antre nan non an nan dosye a nan lavni ak ekstansyon an ".pcap". Konsidere tout egzanp lan:
sudo tcpdump -i ppp0 -w file.pcap
Egzanp:
Tanpri sonje: pandan y ap ekri mòso bwa nan yon dosye, pa gen okenn tèks parèt sou "Tèminal" ekran an.
Lè ou vle wè pwodiksyon an anrejistre, ou bezwen sèvi ak opsyon an -rki te swiv pa non an nan dosye a deja anrejistre. Li aplike san lòt opsyon ak filtè:
sudo tcpdump -r file.pcap
Egzanp:
Tou de nan opsyon sa yo se pafè nan ka kote ou bezwen pou konsève pou gwo kantite tèks pou analiz ki vin apre.
IP filtraj
Soti nan tab la filtre, nou konnen sa dst pèmèt ou montre sou ekran an konsole sèlman sa yo pakè ki te resevwa pa adrès la espesifye nan sentaks la lòd. Se konsa, li trè pratik yo wè pakè yo resevwa pa òdinatè w lan. Pou fè sa, ekip la jis bezwen presize adrès IP ou an:
sudo tcpdump -i ppp0 IP dst 10.0.6.67
Egzanp:
Kòm ou ka wè, san konte dst, nan ekip la, nou te anrejistre tou filtè a ip. Nan lòt mo, nou te di òdinatè a ke lè chwazi pakè, li ta peye atansyon sou adrès IP yo, epi yo pa nan lòt paramèt.
Pa IP, ou ka filtre ak voye pakè. Nan egzanp lan nou bay IP nou an ankò. Sa vle di, nou pral swiv kounye a ki pake yo voye soti nan òdinatè nou an nan lòt adrès. Pou fè sa, kouri lòd sa a:
sudo tcpdump -i ppp0 src ip 10.0.6.67
Egzanp:
Kòm ou ka wè, nou chanje filtre a nan sentaks la lòd. dst sou src, kidonk di machin nan pou chèche moun k la pa IP.
HOST filtraj
Pa analoji ak IP nan ekip la, nou ka presize yon filtre lamerache pake yo ak lame a nan enterè yo. Sa se, nan sentaks la, olye pou yo adrès la IP nan moun k la / benefisyè, ou pral bezwen presize lame li yo. Li sanble tankou sa a:
sudo tcpdump -i ppp0 dst lame google-public-dns-a.google.com
Egzanp:
Sou imaj la ou ka wè sa "Tèminal" Se sèlman sa yo ki te voye pake ki soti nan IP nou an ale nan google.com lame. Kòm ou ka wè, olye pou yo Google lame, ou ka antre nan nenpòt ki lòt.
Menm jan ak filtraj IP, sentaks la se: dst ka ranplase pa srcPou wè pakè yo ke yo voye nan òdinatè w lan:
sudo tcpdump -i ppp0 src hôte google-public-dns-a.google.com
Remak: filtre lame a dwe apre dst oswa src, otreman lòd la pral jenere yon erè. Nan ka IP filtraj, sou kontrè a, dst ak src yo devan filtè IP la.
Filtre ak ak oswa
Si ou bezwen sèvi ak filtè plizyè nan yon fwa nan yon sèl lòd, lè sa a ou bezwen pou aplike pou yon filtre. ak oswa oswa (depann sou ka a). Pa espesifye filtè yo nan sentaks la ak separe yo ak sa yo operatè yo, ou "fè" yo travay kòm yon sèl. Nan yon egzanp, li sanble tankou sa a:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 oswa ip src 95.47.144.254
Egzanp:
Soti nan sentaks la lòd ou ka wè ke nou vle montre "Tèminal" tout pake ki te voye nan adrès 95.47.144.254 ak pake resevwa pa menm adrès la. Ou kapab tou chanje kèk varyab nan ekspresyon sa a. Pou egzanp, olye pou yo IP, presize HOST oswa dirèkteman ranplase adrès yo tèt yo.
Filtre pò ak pòrange
Filtre pò pafè pou lè ou bezwen jwenn enfòmasyon sou pake ak yon pò espesifik. Se konsa, si ou sèlman bezwen wè Replies oswa demann dns, ou bezwen presize pò 53:
sudo tcpdump -vv -i pò ppp0 53
Egzanp:
Si ou vle wè pakè http, ou bezwen antre nan pò 80:
sudo tcpdump -vv -i ppp0 pò 80
Egzanp:
Pami lòt bagay, li posib pou swiv imedyatman pò a. Pou fè sa, aplike filtè a aranje:
sudo tcpdump aranje 50-80
Kòm ou ka wè, nan konjonksyon avèk filtre la aranje Li pa nesesè pou presize lòt opsyon. Jis mete seri a.
Pwotokòl Filtraj
Ou kapab tou montre sèlman trafik la ki koresponn ak nenpòt pwotokòl. Pou fè sa, itilize non pwotokòl sa a kòm yon filtè. Se pou nou gade nan yon egzanp udp:
sudo tcpdump -vvv -i ppp0 udp
Egzanp:
Kòm ou ka wè nan imaj la, apre yo fin egzekite lòd la nan "Tèminal" sèlman pakè ak pwotokòl la te parèt udp. An konsekans, ou ka filtre pa lòt moun, pou egzanp, arp:
sudo tcpdump -vvv -i ppp0 arp
oswa tchp:
sudo tcpdump -vvv -i ppp0 tcp
Filtre nèt
Operatè nèt ede filtre pake ki baze sou deziyasyon nan rezo yo. Li se tankou fasil yo sèvi ak kòm rès la - ou bezwen presize atribi a nan sentaks la nèt, Lè sa a, antre nan adrès rezo a. Isit la se yon egzanp tout moun ki tankou yon lòd:
sudo tcpdump -i ppp0 nèt 192.168.1.1
Egzanp:
Filtre pa gwosè pake
Nou pa konsidere de lòt filtè plis enteresan: mwens ak pi gwo. Soti nan tablo a ak filtè, nou konnen ke yo sèvi pwodiksyon plis pake done (mwens) oswa mwens (pi gwo) gwosè ki espesifye apre yo fin atribi a antre nan.
Sipoze nou sèlman vle kontwole pake ki pa depase 50 Bits, Lè sa a, lòd la pral sanble tankou sa a:
sudo tcpdump -i ppp0 mwens 50
Egzanp:
Koulye a, kite a montre nan "Tèminal" pake pi gwo pase 50 Bits:
sudo tcpdump -i ppp0 pi gwo 50
Egzanp:
Kòm ou ka wè yo, yo yo te itilize egal-ego, sèl diferans lan se nan non filtè an.
Konklizyon
Nan fen atik la nou ka konkli ke ekip la tcpdump - Sa a se yon zouti gwo ak ki ou ka swiv nenpòt ki pake done transmèt sou entènèt la. Men, pou sa a li pa ase jis antre nan lòd la tèt li nan "Tèminal". Pou yo rive jwenn rezilta a vle jwenn sèlman si ou itilize tout kalite opsyon ak filtè, osi byen ke konbinezon yo.
