Kung gikinahanglan nimo pag-analisar o pagpugong sa mga packet sa network sa Linux, labing maayo nga gamiton ang console utility niini. tcpdump. Apan ang suliran mitumaw sa iyang komplikado nga pagdumala. Kini daw dili kombenyente alang sa usa ka ordinaryong tiggamit nga magtrabaho uban sa utility, apan kini sa unang pagtan-aw. Ang artikulo magpatin-aw kung giunsa ang pag-organisa sa tcpdump, unsa nga syntax kini, unsaon paggamit niini, ug daghang mga ehemplo sa paggamit niini ihatag.
Tan-awa usab: Tutorials alang sa pag-establisar sa koneksyon sa Internet sa Ubuntu, Debian, Ubuntu Server
Pag-instalar
Kadaghanan sa mga nag-develop sa Linux-based nga mga operating system naglakip sa tcpdump nga utility sa listahan sa mga gi-instalar nga daan, apan kung alang sa usa ka rason wala kini sa imong pag-apud-apud, mahimo nimo kanunay i-download ug i-install kini pinaagi sa "Terminal". Kon ang imong OS gipasukad sa Debian, ug kini mao ang Ubuntu, Linux Mint, Kali Linux ug uban pa, kinahanglan nimo kining buhaton:
sudo apt install tcpdump
Sa pag-instalar kinahanglan ka nga mosulod sa usa ka password. Palihug hinumdumi nga sa dihang mag-type kini dili ipasundayag, usab aron pagkumpirma sa pag-instalar, kinahanglang imong isulod ang karakter "D" ug magpadayon Pagsulod.
Kon ikaw adunay Red Hat, Fedora o CentOS, ang pag-instalar nga mando susama niini:
sudo yam install tcpdump
Human mapahimutang ang utility, mahimo nimo kini gamiton dayon. Kini ug daghan pa nga gihisgutan sa ulahi diha sa teksto.
Tan-awa usab: PHP Installation Guide alang sa Ubuntu Server
Sintaks
Sama sa bisan unsang lain nga sugo, ang tcpdump adunay kaugalingong syntax. Sa pagkaila kaniya, mahimo nimong ibutang ang tanan nga gikinahanglan nga mga lagda nga paga-konsiderahon sa pagpatuman sa sugo. Ang sintaksismo mao kini:
tcpdump options -i interface filters
Sa diha nga ang paggamit sa mga sugo, kinahanglan nga tukion ang interface aron masubay. Ang mga filter ug mga kapilian dili mga pwersang mandatory, apan kini nagtugot sa mas sayon nga pagsulbad.
Mga kapilian
Bisan tuod dili gikinahanglan ang pagtino sa kapilian, kinahanglan gihapon nga ilista ang mga anaa. Ang lamesa wala nagpakita sa ilang tibuok nga lista, apan ang mga labing inila, apan kini igo na aron masulbad ang kadaghanan sa mga buluhaton.
| Pagpili | Kahubitan |
|---|---|
| -A | Nagtugot kanimo sa pagsusi sa mga pakete sa ASCII format |
| -l | Nagdugang sa function sa scroll. |
| -i | Human sa pagsulod kinahanglan nimo nga mahibal-an ang network interface nga paga-monitor. Aron masugdan ang pagsubay sa tanang mga interface, i-type ang pulong "bisan unsa" human sa kapilian. |
| -c | Gitapos ang proseso sa pagsubay human sa pagsusi sa gitakda nga gidaghanon sa mga pakete. |
| -w | Nagagama og usa ka text file nga adunay usa ka taho sa pag-verify. |
| -e | Nagpakita sa lebel sa koneksyon sa internet sa data packet. |
| -L | Gipakita lamang ang mga protocol nga gipaluyohan sa gitakda nga interface sa network. |
| -C | Naghimo og lain nga file samtang nagsulat sa usa ka pakete kung ang gidak-on niini mas dako kay sa gipili nga usa. |
| -r | Nagbukas sa usa ka file alang sa pagbasa nga gimugna uban sa -w nga kapilian. |
| -j | Ang TimeStamp format gamiton sa pagrekord sa mga pakete. |
| -J | Nagtugot kanimo sa pagtan-aw sa tanan nga mga available nga mga format sa TimeStamp |
| -G | Gigamit sa paghimo sa usa ka file nga may mga troso. Ang kapilian nagkinahanglan usab og usa ka temporaryo nga bili, nga human niana usa ka bag-ong log nga pagahimoon |
| -v, -vv, -vvv | Depende sa gidaghanon sa mga karakter sa kapilian, ang output sa sugo mahimong mas detalyado (ang dugang nga diretso katumbas sa gidaghanon sa mga karakter) |
| -f | Ang output nagpakita sa ngalan sa domain sa IP address |
| -F | Nagtugot kanimo sa pagbasa sa impormasyon nga dili gikan sa network interface, apan gikan sa gitakda nga file |
| -D | Nagpakita sa tanang mga interface sa network nga mahimong gamiton. |
| -n | Gipakawang ang pagpakita sa mga ngalan sa domain |
| -Z | Nagtino sa tiggamit diin ang tanan nga mga file gimugna. |
| -K | Pagtangtang sa pagsusi sa checksum |
| -q | Demonstrasyon sa mubo nga kasayuran |
| -H | Namatikdan ang 802.11s nga mga ulohan |
| -Ako | Gigamit sa pagkuha sa mga packet sa monitor mode. |
Gisusi ang mga kapilian, sa ubos nga kita direkta nga mobalik sa ilang mga aplikasyon. Sa kasamtangan, ang mga pagsala pagaisipon.
Mga filter
Sama sa gihisgotan sa sinugdanan sa artikulo, mahimo ka makadugang sa mga pagsala sa tcpdump syntax. Karon ang labing inila nila pagaisipon:
| Filter | Kahubitan |
|---|---|
| host | Nagtino sa pangalan sa host. |
| net | Nagtakda sa subnet ug network sa IP |
| ip | Nagtino sa protocol address |
| src | Gipakita ang mga pakete nga gipadala gikan sa gitakda nga address |
| dst | Nagpakita sa mga pakete nga nadawat sa gitakda nga address. |
| arp, udp, tcp | Pag-filter sa usa sa mga protocol |
| dunggoanan | Nagpakita sa impormasyon nga may kalabutan sa usa ka piho nga pantalan. |
| ug, o | Gigamit sa pagsagol sa daghang mga pagsala sa usa ka sugo. |
| dili kaayo, labaw pa | Ang mga pakete sa output mas gamay o mas dako pa kay sa gitino nga gidak-on |
Ang tanan nga mga filter sa ibabaw mahimo nga isagol sa usag usa, mao nga sa pag-isyu og usa ka sugo imong makita lamang ang kasayuran nga gusto nimo nga makita. Aron makasabut sa dugang nga detalye sa paggamit sa mga pagsala sa ibabaw, kini takus sa paghatag sa mga panig-ingnan.
Tan-awa usab: Kasagaran nga Gigamit nga mga Sugo sa Linux Terminal
Mga panig-ingnan sa paggamit
Ang kanunay nga gigamit nga tcpdump nga mga kapilian sa syntax ilista na karon. Ang tanan niini dili ikalista, sanglit ang ilang mga kalainan mahimong walay kinutuban.
Tan-awa ang lista sa interface
Giawhag nga ang matag user magsugod sa pagsusi sa listahan sa tanan niyang mga interface sa network nga masubay. Gikan sa lamesa sa ibabaw nahibal-an namon nga kinahanglan nimo gamiton ang kapilian -D, busa anaa sa terminal ang mosunod nga sugo:
sudo tcpdump -D
Pananglitan:
Sumala sa imong makita, adunay walo ka mga interface sa panig-ingnan nga mahimong tan-awon gamit ang tcpdump command. Ang artikulo maghatag og mga ehemplo sa ppp0, magamit nimo ang bisan unsa.
Pagbaton sa trapiko
Kon kinahanglan mo nga masubay ang usa ka network interface, mahimo nimo kini gamit ang kapilian -i. Ayaw kalimti ang pagsulod sa pangalan sa interface human sa pagsulod niini. Ania ang usa ka ehemplo sa pagpatuman sa ingon nga sugo:
sudo tcpdump -i ppp0
Palihug timan-i: kinahanglan mo nga mosulod "sudo" sa wala pa ang sugo mismo, tungod kay kini nagkinahanglan sa katungod sa superuser.
Pananglitan:
Timan-i: human sa pagpilit sa pagsulod sa "Terminal", ang mga intercepted packets magpadayon nga gipakita. Aron mapugngan ang agianan, kinahanglan nimo nga ipadayon ang yawe nga kombinasyon nga Ctrl + C.
Kon ikaw modagan sa mando nga walay dugang mga kapilian ug mga pagsala, imong makita ang mosunod nga format alang sa pagpakita sa gisubay nga mga pakete:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], seq 1: 595, ack 1118, kada 6494, mga kapilian [nop, nop, TS val 257060077 ecr 697597623], gitas-on 594
Diin ang kolor gipasiugda:
- asul - ang panahon sa pagdawat sa pakete;
- orange nga protocol version;
- berde - nagpadala sa address;
- purpura - ang adres sa nakadawat;
- abohon - dugang nga kasayuran mahitungod sa tcp;
- pula nga pakete nga pakete (gipakita sa mga byte).
Kini nga syntax adunay abilidad sa pagpagawas sa bintana "Terminal" nga wala ang paggamit sa dugang mga kapilian.
Kuhaa ang trapiko sa -v nga kapilian
Sama sa nahibal-an gikan sa lamesa, ang kapilian -v nagtugot kanimo nga madugangan ang gidaghanon sa kasayuran. Atong hisgotan ang usa ka pananglitan. Susiha ang sama nga interface:
sudo tcpdump -v -i ppp0
Pananglitan:
Dinhi imong makita nga ang mosunod nga linya makita sa output:
IP (nahuman 0x0, ttl 58, id 30675, gihan-ay 0, bandila [DF], proto TCP (6), gitas-on 52
Diin ang kolor gipasiugda:
- orange nga protocol version;
- asul - ang kinabuhi sa protocol;
- berde - ang gitas-on sa header sa uma;
- purpura - bersyon sa pakete sa tcp;
- pula nga pakete.
Usab sa command syntax mahimo ka magsulat sa kapilian -u o -v, nga dugang nga makadugang sa kantidad sa impormasyon nga gipakita sa screen.
Ang -w ug -r nga kapilian
Ang mga kapilian sa lamesa naghisgot sa posibilidad sa pagtipig sa tanan nga datos sa output sa usa ka linain nga file aron kini mahimong makita sa ulahi. Ang kapilian mao ang hinungdan niini. -w. Kini yano nga gamiton, ipasulod lang kini sa sugo ug unya ipasulod ang ngalan sa umaabot nga file uban ang extension ".pcap". Tagda ang tanang pananglitan:
sudo tcpdump -i ppp0 -w file.pcap
Pananglitan:
Palihug timan-i: samtang nagsulat sa mga troso sa usa ka file, walay teksto nga gipakita sa screen sa "Terminal".
Kung gusto nimo nga tan-awon ang natala nga output, kinahanglang gamiton nimo ang kapilian -rnga gisundan sa ngalan sa kanhi natala nga file. Gipadapat kini nga walay laing mga kapilian ug mga pagsala:
sudo tcpdump -r file.pcap
Pananglitan:
Ang duha niini nga mga kapilian hingpit sa mga kasinatian diin kinahanglan ka nga makadaginot og daghan nga teksto alang sa sunod nga pagsusi.
IP pagsala
Gikan sa filter nga lamesa, nasayud kami niana dst nagtugot kanimo nga ipakita sa console screen lamang ang mga pakete nga nadawat sa address nga gitino sa command syntax. Busa, kini sayon kaayo nga makita ang mga pakete nga nadawat sa imong computer. Sa paghimo niini, ang tim kinahanglan nga isulti ang imong IP address:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Pananglitan:
Sama sa imong makita, labut pa dst, sa team, kami usab nagparehistro sa filter ip. Sa laing pagkasulti, gisultihan namo ang computer nga sa pagpili sa mga packet, iyang hatagan og pagtagad ang ilang IP address, ug dili sa ubang mga parameter.
Pinaagi sa IP, makahimo ka sa pagsala ug pagpadala sa mga pakete. Sa panig-ingnan among gihatag ang among IP pag-usab. Sa ato pa, atong susihon kung asa nga mga pakete gipadala gikan sa among computer ngadto sa laing mga adres. Aron mahimo kini, patuman ang mosunod nga sugo:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Pananglitan:
Sama sa imong makita, among giusab ang filter sa command syntax. dst on src, sa ingon nagsulti sa makina aron sa pagpangita sa nagpadala pinaagi sa IP.
HOST pagsala
Pinaagi sa pagkasayod sa IP sa team, mahimo natong isulti ang usa ka filter hostaron sa paghimo sa mga pakete nga adunay daghang interes. Sa ato pa, diha sa syntax, inay sa IP address sa nagpadala / dumadawat, kinahanglan nimo nga itakda ang host niini. Kini ingon niini:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Pananglitan:
Diha sa imahen makita nimo kana "Terminal" Ang mga pakete nga gipadala gikan sa among IP ngadto sa google.com host gipakita. Sama sa imong makita, imbis nga google host, mahimo ka nga mosulod sa bisan unsang lain.
Sama sa pag-filter sa IP, ang syntax mao ang: dst mahimong mapulihan pinaagi sa srcAron makita ang mga packet nga gipadala sa imong computer:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Mubo nga sulat: ang filter sa host kinahanglan nga human sa dst o src, kon dili ang command makamugna og sayop. Sa kaso sa pagsala sa IP, sa kasukwahi, ang dst ug src naa sa atubangan sa ip filter.
Isulat ug o o
Kung kinahanglan nimo gamiton ang ubay-ubay nga mga pagsala sa usa ka higayon sa usa ka sugo, nan kinahanglan nimo nga magamit ang usa ka filter. ug o o (depende sa kaso). Pinaagi sa pag-ila sa mga pagsala sa syntax ug pagbulag kanila uban niining mga operator, imong "himoon" sila nga magtrabaho ingon nga usa. Sa usa ka pananglitan, kini susama niini:
sudo tcpdump -i ppp0 ip d 95.47.144.254 o ip src 95.47.144.254
Pananglitan:
Gikan sa command syntax imong makita nga gusto namong ipakita "Terminal" tanan nga mga packet nga gipadala sa address 95.47.144.254 ug mga packet nga nadawat sa mao ra nga address. Mahimo usab nimo usbon ang pipila ka mga kausaban sa niini nga ekspresyon. Pananglitan, inay sa IP, itakda ang HOST o direktang ipuli ang mga adres mismo.
Filter port ug portrange
Filter dunggoanan hingpit kung kanus-a kinahanglan ka makakuha og kasayuran mahitungod sa mga pakete nga adunay usa ka piho nga pantalan. Busa, kung kinahanglan mo lamang nga makita ang mga tubag o mga pangutana sa DNS, kinahanglang isulat nimo ang port 53:
sudo tcpdump -vv -i ppp0 port 53
Pananglitan:
Kon gusto nimong tan-awon ang http nga mga pakete, kinahanglan nimo nga isulod ang port 80:
sudo tcpdump -vv -i ppp0 port 80
Pananglitan:
Lakip sa ubang mga butang, posible nga masubay dayon ang mga pantalan. Aron mahimo kini, i-apply ang filter portrange:
sudo tcpdump portrange 50-80
Sama sa imong makita, inubanan sa filter portrange Dili gikinahanglan ang pagtino sa dugang mga kapilian. Ibutang lang ang gidak-on.
Protocol Filtering
Mahimo mo usab ipakita ang trapiko nga katumbas sa bisan unsang protocol. Sa paghimo niini, gamita ang ngalan niini nga protocol isip usa ka filter. Atong tan-awon ang usa ka panig-ingnan udp:
sudo tcpdump -vvv -i ppp0 udp
Pananglitan:
Sama sa imong makita sa larawan, human sa pagpatuman sa sugo "Terminal" lamang nga mga pakete nga adunay protocol ang gipakita udp. Sumala niana, mahimo nimong sudlan sa uban, sama pananglit, arp:
sudo tcpdump -vvv -i ppp0 arp
o tcp:
sudo tcpdump -vvv -i ppp0 tcp
Filter net
Operator net makatabang sa pagsala sa mga pakete base sa pagtawag sa ilang network. Sayon ra kini nga gamiton ingon nga ang uban - kinahanglan nimo nga isulti ang hiyas sa syntax net, dayon mosulod sa address sa network. Ania ang usa ka ehemplo sa ingon nga sugo:
sudo tcpdump -i ppp0 net 192.168.1.1
Pananglitan:
Isulat sa gidak-on nga pakete
Kami wala maghunahuna sa duha ka mas makalingaw nga mga pagsala: dili kaayo ug mas dako. Gikan sa lamesa nga adunay mga pagsala, nahibal-an namon nga sila nagsilbi aron sa pagpagawas sa dugang mga pakete sa datos (dili kaayo) o dili kaayo (mas dako) ang gidak-on nga gitino human sa pagsulod sa hiyas.
Pananglit gusto lang namon nga ma-monitor ang mga packet nga dili molabaw sa 50 ka piraso, unya ang mando susama niini:
sudo tcpdump -i ppp0 mas ubos 50
Pananglitan:
Karon ipakita ta "Terminal" packet mas dako pa sa 50 ka tipik:
sudo tcpdump -i ppp0 labaw 50
Pananglitan:
Sama sa imong makita, kini gigamit nga parehas, ang bugtong kalainan anaa sa ngalan sa filter.
Panapos
Sa katapusan sa artikulo makahinapos kita nga ang grupo tcpdump - Kini usa ka talagsaon nga himan nga mahimo nimo masubay ang bisan unsang data packet nga gipasa sa Internet. Apan tungod niini dili igo ang pagsulod sa sugo mismo "Terminal". Aron makab-ot ang gitinguha nga resulta makuha kung magamit mo ang tanan nga matang sa mga kapilian ug mga pagsala, ingon man usab sa ilang mga kombinasyon.
