V nasledujúcom článku sa pozrieme na tcpdump. Tento nástroj nám to umožní zobraziť informácie o doprave vstupujúcej do a opúšťajúcej sieťové rozhranie rozhodnutý. Je to diagnostický nástroj, ktorý nám umožní vidieť informácie o balíkoch. Táto informácia bude obsahovať informácie o tom, odkiaľ prichádzajúce pakety prichádzajú a kam smerujú odchádzajúce pakety. Výsledok môžeme dokonca uložiť do súboru, aby sme si ho mohli pozrieť neskôr.
Tento program funguje na väčšine operačných systémov UNIX: Gnu / Linux, Solaris, BSD, Mac OS X, HP-UX a AIX medzi ostatnými. V týchto systémoch tcpdump využíva knižnicu libpcap na zachytávanie paketov, ktoré cirkulujú v sieti. K dispozícii je tiež adaptácia pre systémy Microsoft Windows s názvom WinDump, ktorá využíva knižnicu Winpcap.
V systéme UNIX a iných operačných systémoch je potrebné mať oprávnenie správcu (root) na použitie tcpdump. Používatelia môžu použiť rôzne filtre, aby bol výstup rafinovanejší. Filter je výraz, ktorý ide za možnosti a umožňuje nám vybrať balíčky, ktoré hľadáme. Ak chýbajú filtre, tcpdump vypíše všetku komunikáciu prechádzajúcu vybraným sieťovým adaptérom.
Tcpdump predvolené správanie
Poprava de tcpdump bez parametrov vyhľadá prvé aktívne rozhranie Nájde a zobrazí informácie o paketoch, ktoré vstupujú do sieťového zariadenia alebo z neho odchádzajú. Toto bude prebiehať, kým nebude proces prerušený (stlačením kombinácie klávesov Ctrl + C) alebo je zrušený. Aby sme ho mohli použiť, budeme musieť iba napísať do terminálu (Ctrl + Alt + T):
sudo tcpdump
Akonáhle príkaz skončí, výstup ukáže, koľko paketov bolo zachytených, koľko ich bolo skutočne prijatých a koľko z nich opustilo jadro.
Zobrazenie parametrov
Budeme schopní vyberte iné rozhranie zobraziť dopravné informácie. Aby sme zistili, s ktorými rozhraniami bude tcpdump bežať, použijeme parameter '-D' ktorý zobrazí zoznam zariadení ktoré možno použiť ako parametre.
sudo tcpdump -D
Teraz, keď máme zoznam použiteľných rozhraní, budeme môcť určiť, ktoré z nich sa má použiť.
sudo tcpdump -i enp0s3
Obmedzte počet zachytených paketov
Ak chceme obmedziť výstup iba na určitý počet paketov, použijeme Parameter „-c“ určuje, koľko paketov chceme zachytiť a zobraziť informácie skôr, ako sa skončí. Príkladom môže byť tento:
sudo tcpdump -c 20
Prezerajte si podrobné informácie pomocou tcpdump
To môže zobraziť podrobnejšie informácie pomocou parametra--v. Tieto informácie zahŕňajú životnosť (TTL), dĺžka paketu, protokol a ďalšie informácie užitočné pri diagnostike. Ak chcete zvýšiť výstupné množstvo pre každé balenie, použijeme parameter '-vv' alebo '-vvv'. Niektoré príklady:
sudo tcpdump -vv sudo tcpdump -vvv
Ukladajte a čítajte súbory
Tcpdump môže uložte výsledok do súboru na neskoršie prezeranie nástrojom. K tomu použijeme parameter '-w' spolu s názvom súboru, aby ste ho napísali. Musíme si to pamätať vytvorený súbor je možné čítať iba pomocou tcpdump. Vytvorený súbor nie je vo formáte obyčajného textu.
Aby sme výstup nástroja zapísali do súboru, budeme mu musieť priradiť ľubovoľný názov. Príkladom môže byť tento:
sudo tcpdump -w paquetes.dump
Na neskoršie prečítanie tohto súboru použijeme parameter „-r“ ako je zobrazené v nasledujúcom texte:
sudo tcpdump -r paquetes.dump
Jednoduché filtre tcpdump
Filtre sa dajú použiť na zachytenie paketov do az určitých hostiteľov a / alebo portov a paketov, ktoré používajú konkrétny protokol (napríklad TCP alebo UDP). Existujú aj ďalšie pokročilejšie filtre, ale nižšie uvidíme iba niekoľko jednoduchých príkladov:
Zachyťte iba pakety TCP
sudo tcpdump 'tcp'
Iba pakety UDP
sudo tcpdump 'udp'
Zachyťte pakety HTTP (zvyčajne sa používa port 80)
sudo tcpdump 'tcp port 80'
Zachytávajte pakety cestujúce do alebo z konkrétneho hostiteľa
sudo tcpdump 'host ubunlog.com'
Zachytávajte pakety HTTP cestujúce do alebo z konkrétneho hostiteľa
sudo tcpdump 'tcp port 80 and host ubunlog.com'
Po tomto všetkom si myslím, že sa to dokázalo tcpdump je pomerne jednoduchý a užitočný diagnostický nástroj používať, zobrazovať a ukladať informácie o paketoch súvisiace so sieťovým rozhraním. Keď však hráme tcpdump, objavíme ďalšie funkcie, ktoré v tomto článku neboli zobrazené. Budeme mať tiež možnosť konzultovať stránka s dokumentáciou že tento nástroj nám ponúka vidieť jeho možnosti podrobnejšie.