Phenquestions
Eredetileg 1988-ban írta a Network Research Group négy munkatársa a kaliforniai Lawrence Berkeley laboratóriumban. Tizenegy évvel később szervezték Micheal Richardson és Bill Fenner 1999-ben, akik létrehozták a tcpdump oldalt. A Tcpdump minden Unix-szerű operációs rendszeren működik. A Tcpdump Windows verziójának neve WinDump, és a WinPcap-et használja, a Windows alternatívája a libpcap számára.
A sc segítségével telepítse a tcpdump-ot:
$ sudo snap install tcpdumpHasználja a csomagkezelőt a tcpdump telepítéséhez:
$ sudo apt-get install tcpdump (Debian / Ubuntu)$ sudo dnf install tcpdump (CentOS / RHEL 6 és 7)
$ sudo yum install tcpdump (Fedora / CentOS / RHEL 8)
Nézzük meg a különböző felhasználásokat és kimeneteket a tcpdump felfedezése során!
UDP
A Tcpdump képes UDP csomagok kiírására is. A netcat (nc) eszköz segítségével elküldünk egy UDP csomagot, majd lerakjuk.
$ echo -n "tcpdumper" | nc -w 1 -u localhost 1337A fenti parancsban egy UDP csomagot küldünk, amely a karakterláncból áll „Tcpdumper” az UDP portra 1337 keresztül helyi kiszolgáló. A Tcpdump rögzíti az 1337 UDP porton keresztül küldött csomagot, és megjeleníti azt.
Ezt a csomagot most a tcpdump használatával dobjuk ki.
$ sudo tcpdump -i lo udp port 1337 -vvv -XEz a parancs rögzíti és megmutatja a csomagokból származó rögzített adatokat ASCII és hex formátumban.
tcpdump: lo meghallgatás, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, offset 0, zászlók [DF], proto UDP (17), 37 hosszúság)
helyi kiszolgáló.54574> localhost.1337: [rossz udp cksum 0xfe24 -> 0xeac6!] UDP, hossza 9
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E…%… @.@…;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $ tcpd
0x0020: 756d 7065 72 lökhárító
Mint láthatjuk, a csomagot az 1337-es portba küldték, és a hossza 9 volt, mint a karakterlánc tcpdumper 9 bájt. Azt is láthatjuk, hogy a csomag hexa formátumban került megjelenítésre.
DHCP
A Tcpdump a hálózaton keresztül is vizsgálhat DHCP-csomagokat. A DHCP a 67. vagy 68. számú UDP portot használja, ezért csak a DHCP csomagokra fogjuk meghatározni és korlátozni a tcpdump-ot. Tegyük fel, hogy wifi hálózati interfészt használunk.
Az itt használt parancs a következő lesz:
tcpdump: hallgatás wlan0-on, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt
03:52:04.004356 00: 11: 22: 33: 44: 55> 00: 11: 22: 33: 44: 66, ethertype IPv4 (0x0800), hossza 342: (tos 0x0, ttl 64, id 39781, 0 eltolás, zászlók [DF ], proto UDP (17), hossza 328)
192.168.10.21.68> 192.168.10.1.67: [udp összeg rendben] BOOTP / DHCP, Kérés 00: 11: 22: 33: 44: 55-től, hossz 300, xid 0xfeab2d67, Jelzők [nincs] (0x0000)
Client-IP 192.168.10.16
Ügyfél-Ethernet-cím 00: 11: 22: 33: 44: 55
Vendor-rfc1048 kiterjesztések
Mágikus süti 0x63825363
DHCP-üzenet (53), 1. hossz: Engedje fel
Kiszolgáló-azonosító (54), hossza 4: 192.168.10.1
Gazdanév (12), 6. hossz: "papagáj"
END (255), hossza 0
A PAD (0), 0 hosszúságú, előfordul 42
DNS
A DNS, más néven Domain Name System, megerősíti, hogy az Ön rendelkezésére bocsátja azt, amit keres, azáltal, hogy a Domain nevet a domain címhez illeszti. Az eszköz internetszintű DNS-szintű kommunikációjának ellenőrzéséhez használhatja a tcpdump alkalmazást a következő módon. A DNS az 53 UDP portot használja a kommunikációhoz.
$ sudo tcpdump -i wlan0 udp 53-as porttcpdump: hallgatás wlan0-on, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, offset 0, zászlók [DF], proto UDP (17), 72 hosszúság)
192.168.10.16.45899> egy.egy.egy.egy.tartomány: [udp sum ok] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, offset 0, zászlók [DF], proto UDP (17), 104 hosszúság)
egy.egy.egy.egy.domain> 192.168.10.16.45899: [udp sum ok] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249., mozilla.cloudflare-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, offset 0, zászlók [DF], proto UDP (17), 66 hosszúság)
192.168.10.16.34043> egy.egy.egy.egy.domain: [udp sum ok] 40757+ PTR? 1.1.1.1.in-addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, 0 eltolás, zászlók [DF], proto UDP (17), 95 hosszúság)
egy.egy.egy.egy.domain> 192.168.10.16.34043: [udp sum ok] 40757 q: PTR? 1.1.1.1.in-addr.arpa. 1/0/01.1.1.1.in-addr.arpa. [26m53s] PTR egy.egy.egy.egy. (67)
ARP
A Address Resolution Protocol a link-réteg cím, például MAC-cím felderítésére szolgál. Egy adott internetes réteg címhez van társítva, általában egy IPv4 címhez.
A tcpdump segítségével rögzítjük és elolvassuk az arp csomagokban tárolt adatokat. A parancs olyan egyszerű, mint:
$ sudo tcpdump -i wlan0 arp -vvvtcpdump: hallgatás wlan0-on, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), Kérje, kinek van 192.168.10.1 mondd meg 192.168.10.2, hossza 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.10.21 mondja 192.168.10.1, hossza 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), Válasz 192.168.10.21 van 00: 11: 22: 33: 44: 55 (oui Ismeretlen), hossza 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), Kérje, kinek van 192.168.10.1 mondd meg 192.168.10.2, hossza 28
ICMP
Az ICMP, más néven Internet Control Message Protocol, az Internet Protocol Suite támogató protokollja. Az ICMP-t információs protokollként használják.
Az összes ICMP csomag megtekintéséhez egy felületen ezt a parancsot használhatjuk:
$ sudo tcpdump icmp -vvvtcpdump: hallgatás wlan0-on, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, offset 0, flags [DF], proto ICMP (1), 84 hosszúság)
192.168.10.16> 192.168.10.1: ICMP visszhangkérés, azonosító: 47363, 1. sorozat, 64-es hosszúság
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, offset 0, zászlók [nincs], proto ICMP (1), hossza 84)
192.168.10.1> 192.168.10.16: ICMP visszhangválasz, azonosító: 47363, 1. sorozat, 64-es hosszúság
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, offset 0, zászlók [DF], proto ICMP (1), 84 hosszúság)
192.168.10.16> 192.168.10.1: ICMP visszhangkérés, azonosító: 47363, 2. sorozat, 64-es hosszúság
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, offset 0, zászlók [nincs], proto ICMP (1), 84 hosszúság)
192.168.10.1> 192.168.10.16: ICMP visszhangválasz, azonosító: 47363, 2. szekvencia, 64. hosszúság
NTP
Az NTP egy hálózati protokoll, amelyet kifejezetten a gépek hálózatán töltött idő szinkronizálására fejlesztettek ki. Forgalom rögzítése az ntp-n:
$ sudo tcpdump dst 123. port04:31:05.547856 IP (tos 0x0, ttl 64, id 34474, offset 0, zászlók [DF], proto UDP (17), 76 hosszúság)
192.168.10.16.ntp> time-b-wwv.nist.gov.ntp: [udp összeg rendben] NTPv4, kliens, 48 hosszúság
Ugrásjelző: óra nincs szinkronizálva (192), Stratum 0 (meghatározatlan), 3. szavazás (8s), -6 pontosság
Gyökér késleltetés: 1.000000, Gyökér diszperzió: 1.000000, Referencia-azonosító: (unspec)
Referencia időbélyeg: 0.000000000
Kezdeményező időbélyege: 0.000000000
Időbélyeg fogadása: 0.000000000
Adás időbélyege: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Kezdő - Vételi időbélyeg: 0.000000000
Kezdeményező - Adás időbélyegzője: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, offset 0, flags [nincs], proto UDP (17), 76 hosszúság)
time-b-wvv.nist.gov.ntp> 192.168.10.16.ntp: [udp összeg rendben] NTPv3, szerver, hossza 48
Ugrásjelző: (0), Stratum 1 (elsődleges referencia), 13. közvélemény-kutatás (8192s), -29 pontosság
Gyökér késleltetés: 0.000244, Gyökér diszperzió: 0.000488, hivatkozási azonosító: NIST
Referencia időbélyeg: 3825358208.000000000 (2021-03-21T23: 30: 08Z)
Kezdeményező időbélyege: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Időbélyeg fogadása: 3825358275.028660181 (2021-03-21T23: 31: 15Z)
Adás időbélyege: 3825358275.028661296 (2021-03-21T23: 31: 15Z)
Kezdő - Vételi időbélyeg: +9.480896026
Kezdeményező - Adás időbélyegzője: +9.480897141
SMTP
Az SMTP-t vagy az egyszerű levélátviteli protokollt főleg e-mailekhez használják. A Tcpdump ezzel hasznos e-mail információkat nyerhet ki. Például az e-mail címzettek / küldők kibontása:
$ sudo tcpdump -n -l port 25 | grep -i 'MAIL FROM \ | RCPT TO'IPv6
IPv6 az IP „következő generációja”, amely az IP-címek széles skáláját biztosítja. IPv6 segít elérni az Internet hosszú távú egészségét.
Az IPv6 forgalom rögzítéséhez használja az IP6 szűrőt, amely megadja a TCP és az UDP protokollokat a proto 6 és a proto-17 használatával.
$ sudo tcpdump -n -i bármelyik ip6 -vvvtcpdump: LINUX_SLL2 adatkapcsolat típus
tcpdump: bármelyik meghallgatása, link típusú LINUX_SLL2 (Linux főtt v2), pillanatkép hossza 262144 bájt
04:34:31.847359 lo IP6-ban (flowxel 0xc7cb6, hlim 64, következő fejléc UDP (17) hasznos teher hossza: 40) :: 1.49395> :: 1.49395: [rossz udp cksum 0x003b -> 0x3587!] UDP, hossza 32
04:34:31.859082 lo IP6-ban (flowxel 0xc7cb6, hlim 64, következő fejléc UDP (17) hasznos teher hossza: 32) :: 1.49395> :: 1.49395: [rossz udp cksum 0x0033 -> 0xeaef!] UDP, hossza 24
04:34:31.860361 lo IP6-ban (flowxel 0xc7cb6, hlim 64, következő fejléc UDP (17) hasznos teher hossza: 40) :: 1.49395> :: 1.49395: [rossz udp cksum 0x003b -> 0x7267!] UDP, hossza 32
04:34:31.871100 lo IP6-ban (flowxel 0xc7cb6, hlim 64, következő fejléc UDP (17) hasznos teher hossza: 944) :: 1.49395> :: 1.49395: [rossz udp cksum 0x03c3 -> 0xf890!] UDP, hossza 936
4 csomag elfogva
12 csomagot kapott szűrő
0 csomagot dobott le a kernel
A '-c 4' legfeljebb 4 csomagot tartalmaz. Megadhatjuk az n csomagok számát és n csomag elfogását.
HTTP
A Hypertext Transfer Protocol a webszerverről a böngészőbe történő adatátvitelre szolgál a weboldalak megtekintéséhez. A HTTP TCP űrlapkommunikációt használ. Pontosabban a 80 TCP portot használják.
Az összes IPv4 HTTP csomag kinyomtatása a 80-as portra és onnan:
tcpdump: hallgatás wlan0-on, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt03:36:00.602104 IP (tos 0x0, ttl 64, id 722, offset 0, zászlók [DF], proto TCP (6), 60 hosszúság)
192.168.10.21.33586> 192.168.10.1.http: Flags [S], cksum 0xa22b (helyes), folytatás 2736960993, win 64240, opciók [mss 1460, sackOK, TS val 389882294 ecr 0, nop, wscale 10], hossz 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), 60 hosszúság)
192.168.10.1.http> 192.168.10.21.33586: Zászlók [S.], cksum 0x2dcc (helyes), seq 4089727666, ack 2736960994, win 14480, opciók [mss 1460, sackOK, TS val 30996070 ecr 389882294, nop, wscale 3], hossz 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, offset 0, zászlók [DF], proto TCP (6), 52 hosszúság)
192.168.10.21.33586> 192.168.10.1.http: Zászlók [.], cksum 0x94e2 (helyes), 1. sz., ack 1, win 63, opciók [nop, nop, TS val 389882297 ecr 30996070], hossza 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, offset 0, zászlók [DF], proto TCP (6), 481 hosszúság)
HTTP kérések ..
192.168.10.21.33586> 192.168.10.1.http: Zászlók [P.], cksum 0x9e5d (helyes), 1: 430, ack 1, win 63, opciók [nop, nop, TS val 389882297 ecr 30996070], hossz 429: HTTP, hossz: 429GET / HTTP / 1.1
Házigazda: 192.168.10.1
Felhasználó-ügynök: Mozilla / 5.0 (Windows NT 10.0; rv: 78.0) Gecko / 20100101 Firefox / 78.0
Elfogadás: szöveg / html, alkalmazás / xhtml + xml, alkalmazás / xml; q = 0.9, kép / web, * / *; q = 0.8
Elfogadási nyelv: en-USA, en; q = 0.5
Elfogadás-kódolás: gzip, deflate
DNT: 1
Kapcsolat: életben maradni
Cookie: _TESTCOOKIESUPPORT = 1; SID = c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Frissítés-Bizonytalan-kérések: 1
És a válaszokat is rögzítjük
192.168.10.1.http> 192.168.10.21.33586: Zászlók [P.], cksum 0x84f8 (helyes), 1: 523, ack 430, 1944 win, opciók [nop, nop, TS val 30996179 ecr 389882297], hossz 522: HTTP, hossz: 522HTTP / 1.1 200 OK
Szerver: ZTE webkiszolgáló 1.0 ZTE corp 2015.
Elfogadási tartományok: bájtok
Csatlakozás: zár
X-Frame-Options: SAMEORIGIN
Gyorsítótár-vezérlés: no-cache, no-store
Tartalom-hossz: 138098
Set-Cookie: _TESTCOOKIESUPPORT = 1; PATH = /; Csak
Tartalomtípus: text / html; karakterkészlet = utf-8
X-Content-Type-Options: nosniff
Tartalom-biztonsági politika: keret-elődök „önálló” „nem biztonságos”, „nem biztonságos”; img-src „önálló” adatok :;
X-XSS-védelem: 1; mód = blokk
Set-Cookie: SID =; lejár = csütörtök, 1970. január 1., 00:00:00 GMT; path = /; Csak
TCP
A csak TCP-t tartalmazó csomagok rögzítéséhez ez a parancs jót tesz:
$ sudo tcpdump -i wlan0 tcptcpdump: hallgatás wlan0-on, link típusú EN10MB (Ethernet), pillanatkép hossza 262144 bájt
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, offset 0, flags [nincs], proto TCP (6), 104 hosszúság)
tl-in-f189.1e100.háló.https> 192.168.10.16.50272: Zászlók [P.], cksum 0xc924 (helyes), szekvencia 1377740065: 1377740117, ack 1546363399, win 300, opciók [nop, nop, TS val 13149401 ecr 3051434098], hossza 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, offset 0, zászlók [DF], proto TCP (6), 52 hosszúság)
192.168.10.16.50272> tl-in-f189.1e100.háló.https: Zászlók [.], cksum 0xf898 (helyes), 1. sz., ack 52, win 63, opciók [nop, nop, TS val 3051461952 ecr 13149401], hossza 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, offset 0, flags [DF], proto TCP (6), 88 hosszúság)
192.168.10.16.50272> tl-in-f189.1e100.háló.https: Zászlók [P.], cksum 0x2531 (helyes), 1:37, ack 52, win 63, opciók [nop, nop, TS val 3051463260 ecr 13149401], hossza 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, offset 0, zászlók [DF], proto TCP (6), 88 hosszúság)
192.168.10.16.50434> hkg12s18-in-f14.1e100.háló.https: Zászlók [P.], cksum 0xb21e (helyes), 328391782: 328391818, ack 3599854191, win 63, opciók [nop, nop, TS val 3656137742 ecr 2564108387], hossza 36
4 csomag elfogva
4 csomag kapott szűrővel
0 csomagot dobott le a kernel
Normális esetben a TCP csomagrögzítés nagy forgalmat eredményez; szűrőket adhat hozzá a rögzítéshez, például:
Kikötő
Megadja a megfigyelni kívánt portot
Forrás IP
Meghatározott forrásból származó csomagok megtekintése
Cél IP
Csomagok megtekintése egy meghatározott rendeltetési helyre
Csomagrögzítés fájlokba mentése
A csomagrögzítés későbbi elemzés céljából történő mentéséhez használhatjuk a tcpdump -w opciót, amely fájlnévparamétert igényel. Ezeket a fájlokat pcap (csomagrögzítés) fájlformátumban menti, amelyek felhasználhatók csomagrögzítések mentésére vagy küldésére.
Például:
$ sudo tcpdumpHozzáadhatunk szűrőket arra vonatkozóan, hogy TCP, UDP vagy ICMP csomagokat akarunk-e rögzíteni stb.
Csomagfogás olvasása fájlokból
Sajnos nem tudja elolvasni a mentett fájlt olyan általános „read file” parancsokkal, mint a cat, stb. A kimenet csak hamis, és nehéz megmondani, mi van a fájlban. A '-r' a mappába mentett csomagok olvasására szolgál .pcap fájl, amelyet korábban a -w vagy más pcaps tároló szoftver tárolt:
$ sudo tcpdump -rEz a rögzített csomagokból gyűjtött adatokat olvasható formátumban nyomtatja ki a terminál képernyőjén.
Tcpdump cheatsheet
A Tcpdump használható más Linux parancsokkal, például grep, sed stb., hasznos információk kinyerése. Íme néhány hasznos kombináció és kulcsszó, amelyeket a tcpdump használatával egyesítettek, hogy értékes információkat szerezzenek.
HTTP felhasználói ügynökök kibontása:
$ sudo tcpdump -n | grep "User-Agent:"A HTTP-n keresztül kért URL-ek a tcpdump használatával figyelhetők meg, például:
$ sudo tcpdump -v -n | egrep -i "POST / | GET / | Host:"Te is Bontsa ki a HTTP jelszavakat a POST kérésekből
$ sudo tcpdump -nn -l | egrep -i "POST / | pwd = | passwd = | jelszó = | Host:"A kiszolgáló vagy kliens oldali cookie-k az alábbiak segítségével nyerhetők ki:
$ sudo tcpdump -n | egrep -i 'Set-Cookie | Host: | Cookie:'Rögzítse a DNS-kéréseket és válaszokat a következők használatával:
$ sudo tcpdump -i wlp58s0 -s0 53. portAz összes egyszerű szöveges jelszó nyomtatása:
$ sudo tcpdump port http vagy port ftp vagy port smtp vagy port imap vagy port pop3 vagy port telnet -l -A | egrep -i -B5 'pass = | pwd = | log = | login = | user = | user | felhasználónév = | pw = | passw = | passwd = | jelszó = | pass: | felhasználó: | felhasználónév: | jelszó: | bejelentkezés: | pass 'Általános Tcpdump szűrők
- -A A csomagokat ASCII formátumban jeleníti meg.
- -c A rögzítendő csomagok száma.
- -számol Csomagszám nyomtatása csak rögzített fájl olvasásakor.
- -e MAC-címek és linkszintű fejlécek nyomtatása.
- -h vagy -segítség Kinyomtatja a verzió és a használati információkat.
- -változat Csak a verzióinformációk megjelenítése.
- -én Adja meg a rögzítéshez szükséges hálózati interfészt.
- -K Akadályozzon meg egy csomag ellenőrző összegének ellenőrzését. Hozzáadja a sebességet.
- -m
Adja meg a használni kívánt modult. - -n Ne konvertálja a címeket (i.e., gazdagép címek, portszámok stb.) nevekre.
- -szám Minden sor elején nyomtasson ki egy opcionális csomagszámot.
- -o Tiltsa meg, hogy az interfész átmenő módba lépjen.
- -Q Válassza ki a rögzítendő csomagok irányát. Küldés vagy fogadás.
- -q Csendes / gyors kimenet. Kevesebb információt nyomtat. A kimenetek rövidebbek.
- -r
Használt csomagok olvasására egy pcap-ból . - -t Ne nyomtasson időbélyeget az egyes dump sorokra.
- -v További információkat nyomtat a kimenettel kapcsolatban.
- -w
Írja a nyers csomagokat fájlba. - -x ASCII kimenetet nyomtat.
- -x ASCII-t nyomtat hatszöggel.
- -list-interfészek Megjeleníti az összes rendelkezésre álló hálózati interfészt, ahol a csomagokat a tcpdump rögzítheti.
Megszüntetés
A Tcpdump egy nagyon széles körben használt eszköz, amelyet a biztonság / hálózatépítés kutatásában és alkalmazásában használnak. Az egyetlen hátránya, hogy a tcpdump nem rendelkezik GUI-val, de túl jó ahhoz, hogy ne tartsuk a legfelső listán. Ahogy Daniel Miessler írja: „A Wiresharkhoz hasonló protokollanalizátorok remekek, de ha valóban el akarod sajátítani a packet-fu-t, akkor először a tcpdump-tal kell eggyé válnod.”
