Pada artikel selanjutnya kita akan melihat tcpdump. Alat ini akan memungkinkan kita melihat informasi tentang lalu lintas yang masuk dan keluar dari antarmuka jaringan ditentukan. Ini adalah alat diagnostik yang memungkinkan kita melihat informasi paket. Informasi ini akan menjadi dari mana paket masuk berasal dan ke mana paket keluar pergi, memberikan beberapa informasi tambahan. Kami bahkan dapat menyimpan hasilnya ke file untuk dilihat nanti.
Program ini bekerja pada kebanyakan sistem operasi UNIX: Gnu / Linux, Solaris, BSD, Mac OS X, HP-UX dan AIX. Pada sistem ini, tcpdump menggunakan pustaka libpcap untuk menangkap paket yang bersirkulasi di jaringan. Ada juga adaptasi untuk sistem Microsoft Windows yang disebut WinDump yang menggunakan pustaka Winpcap.
Pada UNIX dan sistem operasi lain itu perlu administrator (root) untuk menggunakan tcpdump. Pengguna bisa mengaplikasikan berbagai filter agar keluarannya lebih halus. Filter adalah ekspresi yang mengikuti opsi dan memungkinkan kita untuk memilih paket yang kita cari. Jika tidak ada filter, tcpdump akan membuang semua lalu lintas yang melewati adaptor jaringan yang dipilih.
Perilaku default Tcpdump
La ejecución de tcpdump tanpa parameter akan mencari antarmuka aktif pertama Ini akan menemukan dan menampilkan informasi tentang paket yang masuk atau keluar dari perangkat jaringan. Ini akan dilakukan sampai prosesnya terputus (menekan Ctrl + C) atau dibatalkan. Untuk menggunakannya kita hanya perlu menulis di terminal (Ctrl + Alt + T):
sudo tcpdump
Setelah perintah berakhir, keluarannya akan menunjukkan berapa banyak paket yang ditangkap, berapa banyak yang benar-benar diterima, dan berapa banyak kernel yang tersisa.
Tampilan parameter
Kami akan mampu pilih antarmuka yang berbeda untuk melihat informasi lalu lintas. Untuk mengetahui antarmuka mana yang akan dijalankan tcpdump, kita akan menggunakan file parameter '-D' yang akan menampilkan daftar perangkat yang dapat digunakan sebagai parameter.
sudo tcpdump -D
Sekarang kita memiliki daftar antarmuka yang dapat digunakan, kita akan dapat menentukan satu untuk digunakan.
sudo tcpdump -i enp0s3
Batasi jumlah paket yang akan ditangkap
Jika kita ingin membatasi keluaran hanya untuk sejumlah paket tertentu, kita akan menggunakan Parameter '-c' untuk menentukan berapa banyak paket yang ingin kita tangkap dan tampilkan informasi sebelum saya selesai. Contohnya adalah sebagai berikut:
sudo tcpdump -c 20
Lihat informasi secara rinci dengan tcpdump
Hal ini dapat menampilkan informasi yang lebih detail menggunakan parameter '-v'. Informasi ini termasuk seumur hidup (TTL), panjang paket, protokol, dan informasi lain yang berguna untuk diagnosis. Untuk meningkatkan jumlah keluaran untuk setiap paket, kami akan menggunakan parameter '-vv' atau '-vvv'. Beberapa contohnya adalah:
sudo tcpdump -vv sudo tcpdump -vvv
Simpan dan baca file
Tcpdump bisa simpan hasilnya ke file untuk dilihat nanti dengan alat tersebut. Untuk ini kami akan menggunakan parameter '-w' bersama dengan nama file untuk menulisnya. Kita harus ingat itu file yang dibuat hanya dapat dibaca oleh tcpdump. File yang dibuat tidak dalam format teks biasa.
Untuk menulis keluaran alat dalam sebuah file, kita harus menugaskannya dengan nama apa pun yang kita inginkan. Contohnya adalah sebagai berikut:
sudo tcpdump -w paquetes.dump
Untuk membaca file ini nanti, kita akan menggunakan parameter '-r' seperti yang ditunjukkan berikut ini:
sudo tcpdump -r paquetes.dump
Filter tcpdump sederhana
Filter dapat digunakan untuk menangkap paket ke dan dari host dan / atau port tertentu, dan paket yang menggunakan protokol tertentu (misalnya, TCP atau UDP). Ada filter lain yang lebih canggih, tetapi di bawah ini kita hanya akan melihat beberapa contoh sederhana:
Tangkap hanya paket TCP
sudo tcpdump 'tcp'
Paket UDP saja
sudo tcpdump 'udp'
Tangkap paket HTTP (biasanya menggunakan port 80)
sudo tcpdump 'tcp port 80'
Penangkapan paket yang bepergian ke atau dari host tertentu
sudo tcpdump 'host ubunlog.com'
Menangkap paket HTTP yang bepergian ke atau dari host tertentu
sudo tcpdump 'tcp port 80 and host ubunlog.com'
Setelah semua ini, saya rasa itu sudah terbukti tcpdump adalah alat diagnostik yang cukup sederhana dan berguna untuk menggunakan, menampilkan, dan menyimpan informasi paket yang terkait dengan antarmuka jaringan. Namun, saat kami memainkan tcpdump, kami akan menemukan fitur lain yang belum diperlihatkan dalam artikel ini. Kami juga akan memiliki kemungkinan untuk berkonsultasi dengan halaman dokumentasi yang ditawarkan alat ini kepada kita untuk melihat kemungkinannya secara lebih detail.