Tcpdump, žinokite tinklo sąsajos srautą iš terminalo

Damián A.

4 minučių

Apie tcpdump

Kitame straipsnyje mes pažvelgsime į tcpdump. Šis įrankis mums leis peržiūrėti informaciją apie srautą, įeinantį į tinklo sąsają ir išeinant iš jos Atkaklus. Tai diagnostikos priemonė, leidžianti pamatyti pakuočių informaciją. Ši informacija bus vieta, iš kurios gaunami paketai ir kur eina išeinantys paketai, pateikdami papildomos informacijos. Mes netgi galime išsaugoti rezultatą faile, kad galėtume jį vėliau peržiūrėti.

Ši programa veikia daugumoje UNIX operacinių sistemų: Gnu / Linux, Solaris, BSD, Mac OS X, HP-UX ir AIX. Šiose sistemose tcpdump naudoja libpcap biblioteką, kad užfiksuotų tinkle cirkuliuojančius paketus. Taip pat yra „Microsoft Windows“ sistemų pritaikymas, vadinamas „WinDump“, kuris naudoja „Winpcap“ biblioteką.

UNIX ir kitose operacinėse sistemose būtina turėti administratoriaus (root) privilegijos naudoti tcpdump. Vartotojai gali pritaikyti įvairius filtrus, kad išvestis būtų patobulinta. Filtras yra išraiška, einanti po parinkčių ir leidžianti pasirinkti paketus, kurių ieškome. Jei nėra filtrų, „tcpdump“ išmes visą srautą, einantį per pasirinktą tinklo adapterį.

Numatytasis „Tcpdump“ elgesys

Vykdymas de „tcpdump“ be parametrų ieškos pirmosios aktyvios sąsajos Jis ras ir rodys informaciją apie paketus, įeinančius į tinklo įrenginį arba išeinantį iš jo. Tai bus daroma tol, kol procesas bus nutrauktas (paspaudus „Ctrl“ + C) arba yra atšauktas. Norėdami jį naudoti, turėsime parašyti tik terminale (Ctrl + Alt + T):

Pagal numatytuosius nustatymus tcpdump 

sudo tcpdump

Kai komanda baigsis, išvestis parodys, kiek paketų užfiksuota, kiek iš tikrųjų buvo gauta ir kiek branduolio liko.

tcpdump galutinio rezultato paketai

Parametrų ekranas

Mes sugebėsime pasirinkite kitą sąsają peržiūrėti eismo informaciją. Norėdami sužinoti, su kuriomis sąsajomis veiks „tcpdump“, naudosime parametras „-D“ kuriame bus rodomas įrenginių sąrašas kuriuos galima naudoti kaip parametrus.

sudo tcpdump -D

Dabar, kai turime tinkamų naudoti sąsajų sąrašą, galėsime nurodyti, kurią naudoti.

„tcpdump“ sąsajos pasirinkimas 

sudo tcpdump -i enp0s3

Apribokite fiksuojamų paketų skaičių

Jei norime apriboti išvestį tik iki tam tikro paketų skaičiaus, naudosime „-c“ parametras nurodo, kiek paketų norime užfiksuoti ir parodyti informaciją, kol baigsiu. Pavyzdys galėtų būti toks:

„tcpdump“ limito paketai

sudo tcpdump -c 20

Peržiūrėkite informaciją išsamiai naudodami „tcpdump“

jis gali rodyti išsamesnę informaciją naudojant parametrą '-v'. Ši informacija apima visą gyvenimą (TTL), paketo ilgis, protokolas ir kita diagnozei naudinga informacija. Norėdami padidinti kiekvienos pakuotės produkcijos kiekį, naudosime parametrą „-vv“ arba „-vvv“. Keletas pavyzdžių būtų:

sudo tcpdump -vv

sudo tcpdump -vvv

Išsaugokite ir skaitykite failus

Tcpdump gali išsaugokite rezultatą faile, kad galėtumėte peržiūrėti vėliau pagal įrankį. Tam mes naudosime parametras „-w“ kartu su failo pavadinimu jį parašyti. Turime tai prisiminti sukurtą failą gali perskaityti tik tcpdump. Sukurtas failas nėra paprasto teksto formatas.

Norėdami įrašyti įrankio išvestį į failą, turėsime jam priskirti bet kokį norimą vardą. Pavyzdys galėtų būti toks:

sudo tcpdump -w paquetes.dump

Norėdami vėliau perskaityti šį failą, naudosime parametrą „-r“ kaip parodyta taip:

tcpdump failo kūrimas 

sudo tcpdump -r paquetes.dump

Paprasti tcpdump filtrai

Filtrai gali būti naudojami paketams užfiksuoti iš tam tikrų pagrindinių kompiuterių ir (arba) prievadų ir iš jų, taip pat paketams, naudojantiems konkretų protokolą (pavyzdžiui, TCP arba UDP). Yra ir kitų pažangesnių filtrų, tačiau toliau apžvelgsime keletą paprastų pavyzdžių:

Užfiksuokite tik TCP paketus

sudo tcpdump 'tcp'

Tik UDP paketai

sudo tcpdump 'udp'

Gauti HTTP paketus (paprastai naudojamas 80 prievadas)

sudo tcpdump 'tcp port 80'

Užfiksuokite paketus, keliaujančius pas konkretų pagrindinį kompiuterį arba iš jo

sudo tcpdump 'host ubunlog.com'

Užfiksuokite HTTP paketus, keliaujančius į konkretų pagrindinį kompiuterį arba iš jo

sudo tcpdump 'tcp port 80 and host ubunlog.com'

Po viso to, manau, tai įrodyta tcpdump yra gana paprasta ir naudinga diagnostikos priemonė naudoti, rodyti ir išsaugoti paketinę informaciją, susijusią su tinklo sąsaja. Tačiau žaisdami „tcpdump“ atrasime kitų funkcijų, kurios nebuvo parodytos šiame straipsnyje. Mes taip pat turėsime galimybę kreiptis į dokumentacijos puslapis kad šis įrankis mums siūlo išsamiau pamatyti jo galimybes.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.