Tcpdump, mengetahui lalu lintas antarmuka jaringan dari terminal

Tentang tcpdump

Pada artikel selanjutnya kita akan melihat tcpdump. Alat ini akan memungkinkan kita melihat informasi tentang lalu lintas yang masuk dan keluar dari antarmuka jaringan ditentukan. Ini adalah alat diagnostik yang memungkinkan kita melihat informasi paket. Informasi ini akan menjadi dari mana paket masuk berasal dan ke mana paket keluar pergi, memberikan beberapa informasi tambahan. Kami bahkan dapat menyimpan hasilnya ke file untuk dilihat nanti.

Program ini bekerja pada kebanyakan sistem operasi UNIX: Gnu / Linux, Solaris, BSD, Mac OS X, HP-UX dan AIX. Pada sistem ini, tcpdump menggunakan pustaka libpcap untuk menangkap paket yang bersirkulasi di jaringan. Ada juga adaptasi untuk sistem Microsoft Windows yang disebut WinDump yang menggunakan pustaka Winpcap.

Pada UNIX dan sistem operasi lain itu perlu administrator (root) untuk menggunakan tcpdump. Pengguna bisa mengaplikasikan berbagai filter agar keluarannya lebih halus. Filter adalah ekspresi yang mengikuti opsi dan memungkinkan kita untuk memilih paket yang kita cari. Jika tidak ada filter, tcpdump akan membuang semua lalu lintas yang melewati adaptor jaringan yang dipilih.

Perilaku default Tcpdump

La ejecución de tcpdump tanpa parameter akan mencari antarmuka aktif pertama Ini akan menemukan dan menampilkan informasi tentang paket yang masuk atau keluar dari perangkat jaringan. Ini akan dilakukan sampai prosesnya terputus (menekan Ctrl + C) atau dibatalkan. Untuk menggunakannya kita hanya perlu menulis di terminal (Ctrl + Alt + T):

tcpdump secara default

sudo tcpdump

Setelah perintah berakhir, keluarannya akan menunjukkan berapa banyak paket yang ditangkap, berapa banyak yang benar-benar diterima, dan berapa banyak kernel yang tersisa.

tcpdump paket hasil akhir

Tampilan parameter

Kami akan mampu pilih antarmuka yang berbeda untuk melihat informasi lalu lintas. Untuk mengetahui antarmuka mana yang akan dijalankan tcpdump, kita akan menggunakan file parameter '-D' yang akan menampilkan daftar perangkat yang dapat digunakan sebagai parameter.

sudo tcpdump -D

Sekarang kita memiliki daftar antarmuka yang dapat digunakan, kita akan dapat menentukan satu untuk digunakan.

pemilihan antarmuka tcpdump

sudo tcpdump -i enp0s3

Batasi jumlah paket yang akan ditangkap

Jika kita ingin membatasi keluaran hanya untuk sejumlah paket tertentu, kita akan menggunakan Parameter '-c' untuk menentukan berapa banyak paket yang ingin kita tangkap dan tampilkan informasi sebelum saya selesai. Contohnya adalah sebagai berikut:

paket batas tcpdump

sudo tcpdump -c 20

Lihat informasi secara rinci dengan tcpdump

Hal ini dapat menampilkan informasi yang lebih detail menggunakan parameter '-v'. Informasi ini termasuk seumur hidup (TTL), panjang paket, protokol, dan informasi lain yang berguna untuk diagnosis. Untuk meningkatkan jumlah keluaran untuk setiap paket, kami akan menggunakan parameter '-vv' atau '-vvv'. Beberapa contohnya adalah:

sudo tcpdump -vv

sudo tcpdump -vvv

Simpan dan baca file

Tcpdump bisa simpan hasilnya ke file untuk dilihat nanti dengan alat tersebut. Untuk ini kami akan menggunakan parameter '-w' bersama dengan nama file untuk menulisnya. Kita harus ingat itu file yang dibuat hanya dapat dibaca oleh tcpdump. File yang dibuat tidak dalam format teks biasa.

Untuk menulis keluaran alat dalam sebuah file, kita harus menugaskannya dengan nama apa pun yang kita inginkan. Contohnya adalah sebagai berikut:

sudo tcpdump -w paquetes.dump

Untuk membaca file ini nanti, kita akan menggunakan parameter '-r' seperti yang ditunjukkan berikut ini:

pembuatan file tcpdump

sudo tcpdump -r paquetes.dump

Filter tcpdump sederhana

Filter dapat digunakan untuk menangkap paket ke dan dari host dan / atau port tertentu, dan paket yang menggunakan protokol tertentu (misalnya, TCP atau UDP). Ada filter lain yang lebih canggih, tetapi di bawah ini kita hanya akan melihat beberapa contoh sederhana:

Tangkap hanya paket TCP

sudo tcpdump 'tcp'

Paket UDP saja

sudo tcpdump 'udp'

Tangkap paket HTTP (biasanya menggunakan port 80)

sudo tcpdump 'tcp port 80'

Penangkapan paket yang bepergian ke atau dari host tertentu

sudo tcpdump 'host ubunlog.com'

Menangkap paket HTTP yang bepergian ke atau dari host tertentu

sudo tcpdump 'tcp port 80 and host ubunlog.com'

Setelah semua ini, saya rasa itu sudah terbukti tcpdump adalah alat diagnostik yang cukup sederhana dan berguna untuk menggunakan, menampilkan, dan menyimpan informasi paket yang terkait dengan antarmuka jaringan. Namun, saat kami memainkan tcpdump, kami akan menemukan fitur lain yang belum diperlihatkan dalam artikel ini. Kami juga akan memiliki kemungkinan untuk berkonsultasi dengan halaman dokumentasi yang ditawarkan alat ini kepada kita untuk melihat kemungkinannya secara lebih detail.


Jadilah yang pertama mengomentari

tinggalkan Komentar Anda

Alamat email Anda tidak akan dipublikasikan. Bidang yang harus diisi ditandai dengan *

*

*

  1. Penanggung jawab data: Miguel Ángel Gatón
  2. Tujuan data: Mengontrol SPAM, manajemen komentar.
  3. Legitimasi: Persetujuan Anda
  4. Komunikasi data: Data tidak akan dikomunikasikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Basis data dihosting oleh Occentus Networks (UE)
  6. Hak: Anda dapat membatasi, memulihkan, dan menghapus informasi Anda kapan saja.