Kas proovite jäädvustada andmepakette võrgu liikluse analüüsimiseks? Võib-olla olete serveri administraator, kes on probleemiga kokku puutunud ja soovib võrgus edastatud andmeid jälgida. Olgu olukord mis tahes, vajate Linuxi utiliiti tcpdump.

Selles artiklis käsitleme üksikasjalikult käsku tcpdump koos mõne juhendiga tcpdumpi installimiseks ja kasutamiseks oma Linuxi süsteemis.

Mis on tcpdumpi käsk?

Tcpdump on võimas võrgu jälgimise tööriist, mis võimaldab kasutajal võrgus olevaid pakette ja liiklust tõhusalt filtreerida. Võite saada üksikasjalikku teavet TCP / IP ja teie võrgus edastatud pakettide kohta. Tcpdump on käsurea utiliit, mis tähendab, et saate seda käivitada Linuxi serverites ilma ekraanita.

Süsteemiadministraatorid saavad integreerida ka utiliidi tcpdump cron mitmesuguste ülesannete, näiteks logimise automatiseerimiseks. Kuna arvukad funktsioonid muudavad selle üsna mitmekülgseks, töötab tcpdump nii tõrkeotsingu kui ka turbetööriistana.

Kuidas installida tcpdump Linuxi

Kui enamasti leiate tcpdumpi oma süsteemi eelinstallitud, ei pakuta mõnda Linuxi distributsiooni paketiga. Seetõttu peate võib-olla utiliidi oma süsteemi installima käsitsi.

Selle abil saate kontrollida, kas tcpdump on teie süsteemi installitud mis käsk. 

mis tcpdump

Kui väljund kuvab kataloogitee (/usr/bin/tcpdump), siis on teie süsteem pakett installitud. Kuid kui ei, siis saate seda hõlpsasti teha oma süsteemi vaikepaketi halduri abil.

Tcpdumpi installimiseks Debiani-põhistele jaotustele, näiteks Ubuntu: 

sudo apt-get install tcpdump

Samuti on tcpdumpi installimine CentOS-ile lihtne. 

sudo yum installi tcpdump

Arch-põhiste jaotuste kohta: 

sudo pacman -S tcpdump

Fedorasse installimiseks toimige järgmiselt. 

sudo dnf installi tcpdump

Pange tähele, et pakett tcpdump nõuab libcap sõltuvusena, seega veenduge, et installite selle ka oma süsteemi.

Tcpdumpi näited võrgupakettide hõivamiseks Linuxis

Nüüd, kui olete tcpdumpi oma Linuxi masinasse edukalt installinud, on aeg mõnda paketti jälgida. Kuna tcpdump nõuab suurema osa toimingute sooritamiseks superkasutaja õigusi, peate selle lisama sudo oma käskude juurde.

1. Loetlege kõik võrguliidesed

Kasutatava võrguliidese jäädvustamiseks kontrollige -D lipp käsuga tcpdump. 

tcpdump -D

Läbimine --loendiliidesed lipp argumendina tagastab sama väljundi. 

tcpdump - list-liidesed

Väljundiks on kõigi teie süsteemis olevate võrguliideste loend.

Pärast võrguliideste loendi saamist on aeg oma võrku jälgida, pakkides oma süsteemi pakette. Kuigi saate määrata, millist liidest soovite kasutada, mis tahes argument käsib tcpdump võrgupakettide hõivamiseks mis tahes aktiivse liidese abil. 

tcpdump - mis tahes liides

Süsteem kuvab järgmise väljundi.

Seotud: Mis on avatud süsteemide ühendamise mudel?

2. Tcpdumpi väljundvorming

Alates kolmandast reast tähistab iga väljundi rida konkreetset paketti, mille on hõivanud tcpdump. Nii näeb välja ühe paketi väljund. 

17: 00: 25.369138 wlp0s20f3 Out IP localsystem.40310> kul01s10-in-f46.1e100.net.https: Flags [P.], järgnev 196: 568, ack 1, win 309, options [nop, nop, TS val 117964079 ecr 816509256], pikkus 33

Pidage meeles, et kõiki pakette pole sellisel viisil hõivatud, kuid see on üldine formaat, mida enamik neist järgib.

Väljund sisaldab järgmist teavet.

  1. Vastuvõetud paketi ajatempel
  2. Liidese nimi
  3. Pakettide voog
  4. Võrguprotokolli nimi
  5. IP-aadress ja pordi üksikasjad
  6. TCP lipud
  7. Paketis olevate andmete järjekorranumber
  8. Ack andmed
  9. Akna suurus
  10. Paki pikkus

Esimene väli (17:00:25.369138) kuvab ajatempli, kui teie süsteem paketi saatis või vastu võttis. Salvestatud aeg võetakse teie süsteemi kohalikust ajast.

Teine ja kolmas väli tähistavad kasutatavat liidest ja paketi voogu. Ülaltoodud katkendis wlp0s20f3 on traadita liidese nimi ja Välja on pakettide voog.

Neljas väli sisaldab võrguprotokolli nimega seotud teavet. Üldiselt leiate kaks protokolli - IP ja IP6, kus IP tähistab IPV4 ja IP6 on IPV6.

Järgmine väli sisaldab IP-aadresse või lähte- ja sihtkohasüsteemi nime. IP-aadressidele järgneb pordi number.

Väljundi kuues väli koosneb TCP lippudest. Tcpdumpi väljundis kasutatakse erinevaid lippe.

Lipu nimi Väärtus Kirjeldus
SYN S Ühendus algas
FIN F Ühendus on lõpetatud
TÕUKA P Andmeid lükatakse
RST R Ühendus on lähtestatud
ACK . Tunnustus

Väljund võib sisaldada ka mitme TCP lipu kombinatsiooni. Näiteks, LIPP [f.] tähistab FIN-ACK paketti.

Väljundijupis edasi liikudes sisaldab järgmine väli järjekorranumbrit (järgnev 196: 568) paketis olevatest andmetest. Esimesel paketil on alati positiivne täisarv ja järgnevad paketid kasutavad andmevoo parandamiseks suhtelist järjekorranumbrit.

Järgmisel väljal on kinnitusnumber (ack 1) või lihtne Acki number. Saatja masinasse hõivatud paketil on kinnitusnumbrina 1. Vastuvõtja lõpus on Acki number järgmise paketi väärtus.

Väljundi üheksas väli mahutab akna suuruse (võit 309), mis on vastuvõtupuhvris saadaolevate baitide arv. Akna suurust järgivad veel mitmed väljad, sealhulgas maksimaalne segmendi suurus (MSS).

Viimane väli (pikkus 33) sisaldab tcpdumpi poolt hõivatud kogu paketi pikkust.

3. Piirake hõivatud pakettide arvu

Esimest korda käsu tcpdump käivitamisel võite märgata, et süsteem jätkab võrgupakettide hõivamist kuni katkestussignaali edastamiseni. Selle vaikekäitumise saate tühistada, määrates eelnevalt paketite arvu, mida soovite hõivata -c lipp. 

tcpdump - liides mis tahes -c 10

Eelnimetatud käsk haarab kümme paketti igast aktiivsest võrguliidesest.

4. Pakettide filtreerimine väljade põhjal

Probleemi tõrkeotsingu korral ei muuda terminali suure tekstiväljundi hankimine seda lihtsamaks. Seal tuleb mängu tcpdumpi filtreerimisfunktsioon. Pakette saate filtreerida vastavalt erinevatele väljadele, sealhulgas hostile, protokollile, pordi numbrile ja muule.

Ainult TCP-pakettide hõivamiseks tippige: 

tcpdump - liides mis tahes -c 5 tcp

Samamoodi, kui soovite väljundit filtreerida pordi numbri abil: 

tcpdump - liides mis tahes -c 5 porti 50

Eespool mainitud käsk võtab alla ainult määratud pordi kaudu edastatud pakette.

Konkreetse hosti pakettandmete saamiseks 

tcpdump - liides mis tahes -c 5 hostiga 112.123.13.145

Kui soovite filtreerida konkreetse hosti saadetud või vastuvõetud pakette, kasutage src või dst argument käsuga. 

tcpdump - liides mis tahes -c 5 src 112.123.13.145
tcpdump - liides mis tahes -c 5 dst 112.123.13.145

Võite kasutada ka loogilisi operaatoreid ja ja või kahe või enama väljendi ühendamiseks. Näiteks allika IP-sse kuuluvate pakettide hankimiseks 112.123.13.145 ja kasutage pordi 80: 

tcpdump - liides mis tahes -c 10 src 112.123.13.145 ja port 80

Kompleksseid väljendeid saab grupeerida, kasutades sulgudes järgnevalt: 

tcpdump - liides mis tahes -c 10 "(src 112.123.13.145 või src 234.231.23.234) ja (port 45 või port 80)"

5. Vaadake paketi sisu

Võite kasutada -A ja -x lipud tcpdump käsuga võrgupaketi sisu analüüsimiseks. The -A lipp tähistab ASCII vorming ja -x tähistab kuueteistkümnendkoht vormingus.

Järgmise süsteemi hõivatud võrgupaketi sisu vaatamiseks toimige järgmiselt. 

tcpdump - liides mis tahes -c 1 -A
tcpdump - liides mis tahes -c 1 -x

Seotud: Mis on pakettide kadu ja kuidas selle põhjust parandada?

6. Salvestage jäädvustamisandmed faili

Kui soovite hõivamisandmed viitamiseks salvestada, on tcpdump teid seal abistamas. Lihtsalt läbige -w lipp vaikekäsuga väljundi kirjutamiseks faili selle asemel, et seda ekraanil kuvada. 

tcpdump - liides mis tahes -c 10 -w data.pcap

The .pcap faililaiend tähistab pakettide hõivamine andmed. Eespool nimetatud käsu saate välja anda ka üksikasjalikus režiimis, kasutades -v lipp. 

tcpdump - liides mis tahes -c 10 -w data.pcap -v

Et lugeda a .pcap faili tcpdump abil, kasutage -r lipp, millele järgneb faili tee. The -r tähistab Loe. 

tcpdump -r data.pcap

Võrgu pakette saate filtreerida ka faili salvestatud pakettandmete hulgast. 

tcpdump -r data.pcap port 80

Võrguliikluse jälgimine Linuxis

Kui teile on määratud Linuxi serveri administreerimise ülesanne, on tcpdump käsk suurepärane vahend arsenali lisamiseks. Võrgustikuga seotud probleeme saate hõlpsalt lahendada, hõivates reaalajas teie võrgus edastatud pakette.

Kuid enne seda peab teie seade olema ühendatud Internetiga. Linuxi algajate jaoks võib isegi Wi-Fi-ga ühenduse loomine käsurea kaudu olla natuke keeruline. Kuid kui kasutate õigeid tööriistu, on see kiire.

E-post
Kuidas WiFi-ga ühenduse luua Linuxi terminali kaudu Nmcli abil

Kas soovite WiFi-võrguga ühenduse luua Linuxi käsurea kaudu? Siin on, mida peate teadma nmcli käsu kohta.

Loe edasi

Seotud teemad
  • Linux
  • Turvalisus
  • Võrgu kohtuekspertiis
Autori kohta
Sügav Sharma (Avaldatud 37 artiklit)

Deepesh on MUO Linuxi nooremtoimetaja. Ta on kirjutanud Internetis infosisu üle 3 aasta. Vabal ajal meeldib talle kirjutada, muusikat kuulata ja kitarri mängida.

Veel Deepesh Sharmalt

Telli meie uudiskiri

Liituge meie uudiskirjaga, kus leiate tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!

Veel üks samm !!!

Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.

.