Kitame straipsnyje mes pažvelgsime į tcpdump. Šis įrankis mums leis peržiūrėti informaciją apie srautą, įeinantį į tinklo sąsają ir išeinant iš jos Atkaklus. Tai diagnostikos priemonė, leidžianti pamatyti pakuočių informaciją. Ši informacija bus vieta, iš kurios gaunami paketai ir kur eina išeinantys paketai, pateikdami papildomos informacijos. Mes netgi galime išsaugoti rezultatą faile, kad galėtume jį vėliau peržiūrėti.
Ši programa veikia daugumoje UNIX operacinių sistemų: Gnu / Linux, Solaris, BSD, Mac OS X, HP-UX ir AIX. Šiose sistemose tcpdump naudoja libpcap biblioteką, kad užfiksuotų tinkle cirkuliuojančius paketus. Taip pat yra „Microsoft Windows“ sistemų pritaikymas, vadinamas „WinDump“, kuris naudoja „Winpcap“ biblioteką.
UNIX ir kitose operacinėse sistemose būtina turėti administratoriaus (root) privilegijos naudoti tcpdump. Vartotojai gali pritaikyti įvairius filtrus, kad išvestis būtų patobulinta. Filtras yra išraiška, einanti po parinkčių ir leidžianti pasirinkti paketus, kurių ieškome. Jei nėra filtrų, „tcpdump“ išmes visą srautą, einantį per pasirinktą tinklo adapterį.
Numatytasis „Tcpdump“ elgesys
Vykdymas de „tcpdump“ be parametrų ieškos pirmosios aktyvios sąsajos Jis ras ir rodys informaciją apie paketus, įeinančius į tinklo įrenginį arba išeinantį iš jo. Tai bus daroma tol, kol procesas bus nutrauktas (paspaudus „Ctrl“ + C) arba yra atšauktas. Norėdami jį naudoti, turėsime parašyti tik terminale (Ctrl + Alt + T):
sudo tcpdump
Kai komanda baigsis, išvestis parodys, kiek paketų užfiksuota, kiek iš tikrųjų buvo gauta ir kiek branduolio liko.
Parametrų ekranas
Mes sugebėsime pasirinkite kitą sąsają peržiūrėti eismo informaciją. Norėdami sužinoti, su kuriomis sąsajomis veiks „tcpdump“, naudosime parametras „-D“ kuriame bus rodomas įrenginių sąrašas kuriuos galima naudoti kaip parametrus.
sudo tcpdump -D
Dabar, kai turime tinkamų naudoti sąsajų sąrašą, galėsime nurodyti, kurią naudoti.
sudo tcpdump -i enp0s3
Apribokite fiksuojamų paketų skaičių
Jei norime apriboti išvestį tik iki tam tikro paketų skaičiaus, naudosime „-c“ parametras nurodo, kiek paketų norime užfiksuoti ir parodyti informaciją, kol baigsiu. Pavyzdys galėtų būti toks:
sudo tcpdump -c 20
Peržiūrėkite informaciją išsamiai naudodami „tcpdump“
jis gali rodyti išsamesnę informaciją naudojant parametrą '-v'. Ši informacija apima visą gyvenimą (TTL), paketo ilgis, protokolas ir kita diagnozei naudinga informacija. Norėdami padidinti kiekvienos pakuotės produkcijos kiekį, naudosime parametrą „-vv“ arba „-vvv“. Keletas pavyzdžių būtų:
sudo tcpdump -vv sudo tcpdump -vvv
Išsaugokite ir skaitykite failus
Tcpdump gali išsaugokite rezultatą faile, kad galėtumėte peržiūrėti vėliau pagal įrankį. Tam mes naudosime parametras „-w“ kartu su failo pavadinimu jį parašyti. Turime tai prisiminti sukurtą failą gali perskaityti tik tcpdump. Sukurtas failas nėra paprasto teksto formatas.
Norėdami įrašyti įrankio išvestį į failą, turėsime jam priskirti bet kokį norimą vardą. Pavyzdys galėtų būti toks:
sudo tcpdump -w paquetes.dump
Norėdami vėliau perskaityti šį failą, naudosime parametrą „-r“ kaip parodyta taip:
sudo tcpdump -r paquetes.dump
Paprasti tcpdump filtrai
Filtrai gali būti naudojami paketams užfiksuoti iš tam tikrų pagrindinių kompiuterių ir (arba) prievadų ir iš jų, taip pat paketams, naudojantiems konkretų protokolą (pavyzdžiui, TCP arba UDP). Yra ir kitų pažangesnių filtrų, tačiau toliau apžvelgsime keletą paprastų pavyzdžių:
Užfiksuokite tik TCP paketus
sudo tcpdump 'tcp'
Tik UDP paketai
sudo tcpdump 'udp'
Gauti HTTP paketus (paprastai naudojamas 80 prievadas)
sudo tcpdump 'tcp port 80'
Užfiksuokite paketus, keliaujančius pas konkretų pagrindinį kompiuterį arba iš jo
sudo tcpdump 'host ubunlog.com'
Užfiksuokite HTTP paketus, keliaujančius į konkretų pagrindinį kompiuterį arba iš jo
sudo tcpdump 'tcp port 80 and host ubunlog.com'
Po viso to, manau, tai įrodyta tcpdump yra gana paprasta ir naudinga diagnostikos priemonė naudoti, rodyti ir išsaugoti paketinę informaciją, susijusią su tinklo sąsaja. Tačiau žaisdami „tcpdump“ atrasime kitų funkcijų, kurios nebuvo parodytos šiame straipsnyje. Mes taip pat turėsime galimybę kreiptis į dokumentacijos puslapis kad šis įrankis mums siūlo išsamiau pamatyti jo galimybes.