В следващата статия ще разгледаме tcpdump. Този инструмент ще ни позволи вижте информация за трафика, влизащ и излизащ от мрежов интерфейс решителен. Това е инструмент за диагностика, който ще ни позволи да видим информацията на пакетите. Тази информация ще бъде откъде идват входящите пакети и къде отиват изходящите пакети, предоставяйки допълнителна информация. Можем дори да запишем резултата във файл, за да го разгледаме по-късно.
Тази програма работи на повечето операционни системи UNIX: Gnu / Linux, Solaris, BSD, Mac OS X, HP-UX и AIX, наред с други. В тези системи tcpdump използва библиотеката libpcap за улавяне на пакети, които циркулират в мрежата. Има и адаптация за системи на Microsoft Windows, наречена WinDump, която използва библиотеката Winpcap.
На UNIX и други операционни системи е необходимо да имате администраторски (root) привилегии за използване на tcpdump. Потребителите могат да прилагат различни филтри, така че изходът да е по-прецизен. Филтърът е израз, който стои зад опциите и който ни позволява да избираме пакетите, които търсим. При липса на филтри tcpdump ще изхвърли целия трафик, преминаващ през избрания мрежов адаптер.
Поведение по подразбиране на Tcpdump
La ejecución de tcpdump без параметри ще търси първия активен интерфейс Той ще намери и покаже информация за пакетите, влизащи или напускащи мрежово устройство. Това ще се прави, докато процесът не бъде прекъснат (натискане на Ctrl + C) или е отменено. За да го използваме, ще трябва само да напишем в терминал (Ctrl + Alt + T):
sudo tcpdump
След като командата приключи, изходът ще покаже колко пакета са били уловени, колко са действително получени и колко са напуснали ядрото.
Показване на параметри
Ще имаме възможност изберете различен интерфейс за да видите информация за трафика. За да разберем с кои интерфейси ще работи tcpdump, ще използваме параметър '-D' който ще покаже списък с устройства които могат да се използват като параметри.
sudo tcpdump -D
Сега, когато имаме списък с използваеми интерфейси, ще можем да посочим един за използване.
sudo tcpdump -i enp0s3
Ограничете броя на пакетите за улавяне
Ако искаме да ограничим изхода само до определен брой пакети, ще използваме Параметър '-c', за да укажете колко пакета искаме да уловим и покажем информацията преди да приключи. Пример може да бъде следният:
sudo tcpdump -c 20
Преглеждайте подробно информацията с tcpdump
Можете да покажете по-подробна информация, като използвате параметъра '-v'. Тази информация включва живота (TTL), дължина на пакета, протокол и друга информация, полезна за диагностика. За да увеличите изходното количество за всяка опаковка, ще използваме параметъра '-vv' или '-vvv'. Някои примери ще бъдат:
sudo tcpdump -vv sudo tcpdump -vvv
Запазване и четене на файлове
Tcpdump може запишете резултата във файл за по-късно разглеждане от инструмента. За това ще използваме параметър '-w' заедно с името на файла, за да го напишете. Трябва да помним това създаденият файл може да се чете само от tcpdump. Създаденият файл не е в обикновен текстов формат.
За да запишем изхода на инструмента във файл, ще трябва да му присвоим каквото име искаме. Пример може да бъде следният:
sudo tcpdump -w paquetes.dump
За да прочетем този файл по-късно, ще използваме параметъра '-r' както е показано в следното:
sudo tcpdump -r paquetes.dump
Прости tcpdump филтри
Филтрите могат да се използват за улавяне на пакети към и от определени хостове и / или портове и пакети, които използват определен протокол (например TCP или UDP). Има и други по-усъвършенствани филтри, но по-долу ще видим само няколко прости примера:
Улавяйте само TCP пакети
sudo tcpdump 'tcp'
Само UDP пакети
sudo tcpdump 'udp'
Заснемане на HTTP пакети (обикновено използва порт 80)
sudo tcpdump 'tcp port 80'
Заснемайте пакети, пътуващи до или от определен хост
sudo tcpdump 'host ubunlog.com'
Улавяйте HTTP пакети, пътуващи до или от определен хост
sudo tcpdump 'tcp port 80 and host ubunlog.com'
След всичко това мисля, че е доказано, че tcpdump е доста прост и полезен диагностичен инструмент за използване, показване и запазване на информация за пакети, свързана с мрежов интерфейс. Въпреки това, докато играем tcpdump, ще открием други функции, които не са показани в тази статия. Също така ще имаме възможност да се консултираме с страница с документация че този инструмент ни предлага да видим по-подробно неговите възможности.