A „tcpdump” egy csomagelemző, amelyet hálózati problémák diagnosztizálására és elemzésére használnak. Rögzíti a készülékén keresztül haladó hálózati forgalmat és átnézi azt. A „tcpdump” eszköz hatékony eszköz a hálózati problémák elhárításához. Számos opcióval rendelkezik, ami sokoldalú parancssori segédprogramot jelent a hálózati problémák megoldására.
Ez a bejegyzés részletes útmutató a „tcpdump” segédprogramról, amely tartalmazza annak telepítését, közös jellemzőit és használatát különböző lehetőségekkel. Kezdjük a telepítéssel:
A „tcpdump” telepítése:
Sok disztribúcióban a „tcpdump” megjelenik a dobozból, és ennek ellenőrzéséhez használja:
$ melyik tcpdump
Ha nem található meg a terjesztésben, akkor telepítse a következővel:
$ sudo apt install tcpdumpA fenti parancsot olyan Debian-alapú disztribúciókhoz használjuk, mint az Ubuntu és a LinuxMint. A „Redhat” és „CentOS” esetén használja:
$ sudo dnf install tcpdumpCsomagok rögzítése a tcpdump segítségével:
Különböző interfészek használhatók csomagok rögzítésére. Az interfészek listájának megtekintéséhez használja:
$ sudo tcpdump -D
Vagy egyszerűen használja a „bármelyik” elemet a „tcpdump” paranccsal, hogy csomagokat kapjon az aktív felületről. A csomagrögzítés használatának megkezdéséhez:
$ sudo tcpdump - bármelyik interfész
A fenti parancs nyomon követi a csomagokat az összes aktív interfészről. A csomagokat folyamatosan fogjuk, amíg megszakad a felhasználó (ctrl-c).
Korlátozhatjuk a rögzítendő csomagok számát is a „-c” jelzővel, amely a „számlálást” jelenti.3 csomag rögzítéséhez használja:
$ sudo tcpdump -i bármilyen -c3
A fenti parancs hasznos egy adott csomag szűrésére. Ezenkívül a kapcsolódási problémák elhárításához csak néhány kezdeti csomag rögzítésére van szükség.
A "tcpdump”Parancs alapértelmezés szerint rögzíti az IP és a port neveket tartalmazó csomagokat, de a tisztítás és a kimenet könnyebb megértése érdekében; a neveket a „-n”És„-nn”A port opcióhoz:
$ sudo tcpdump -i bármilyen -c3 -nn
Amint a fenti kimenet mutatja, az IP és a port neveket kivették.
A megfogott csomag információinak megértése:
A rögzített csomag különböző területeinek megismeréséhez vegyünk egy példát egy TCP csomagra:
Egy csomag különféle mezőket tartalmazhat, de az általánosak fent láthatók. Az első mező:09:48:18.960683,”Azt az időpontot jelöli, amikor a csomag beérkezik. Ezután következnek az IP-címek; az első IP216.58.209.130] a forrás IP és a második IP [10.0.2.15.55812] a cél IP. Akkor megkapja a zászlót [P.]; az alábbiakban felsoroljuk a tipikus zászlók listáját:
Zászló | típus | Leírás |
„.” | ACK | Jelzi az elismerést |
S | SYN | Jelölje meg a kapcsolat indítását |
F | USZONY | Zászló a zárt kapcsolathoz |
P | NYOM | Jelzi a küldő által küldött adatok nyomását |
R | RST | Kapcsolat visszaállítása |
És ezután következik a sorszám185: 255”. Az ügyfél és a kiszolgáló egyaránt a 32 bites sorszámot használja az adatok karbantartására és figyelésére.
A "ack”Egy zászló; ha 1, akkor ez azt jelenti, hogy a nyugtázási szám érvényes, és a vevő a következő bájtra számít.
Az ablak száma jelzi a puffer méretét. „győzelem 65535”Pufferolható adatmennyiséget jelent.
És végül jön a hossza [70] a csomag bájtokban, ami a „185: 255”.
Csomagok szűrése a hálózati problémák megoldásához:
A „tcpdump” eszköz több száz csomagot képes rögzíteni, és ezek többsége kevésbé fontos, így a bonyolult információk megszerzése bonyolultabbá válik. Ebben az esetben a szűrés játszik szerepet. Például a hibaelhárítás során, ha nem érdekel egy adott típusú forgalom, szűrheti azt a „tcpdump” használatával, amely csomagok szűrésével jár az IP-címek, portok és protokollok szerint.
Csomagok rögzítése a gazdagépnév segítségével a tcpdump paranccsal:
Ha csak egy adott állomástól szeretne csomagot kapni, használja:
$ sudo tcpdump -i bármilyen -c4 gazdagép 10.0.2.15
Ha csak egyirányú forgalmat szeretne elérni, akkor használja asrc”És„dst”Opciók aházigazda.”
Csomag rögzítése a portszám használatával a tcpdump paranccsal:
A portszám kiszűréséhez használja a következőket:
$ sudo tcpdump -i bármelyik -c3 -nn 443-as port
A „443” a HTTPS port száma.
Csomagok rögzítése a protokoll segítségével a tcpdump paranccsal:
A „tcpdump” paranccsal bármilyen protokoll szerint szűrhet csomagokat, például udp, icmp, arp stb. Csak írja be a protokoll nevét:
$ sudo tcpdump -i bármilyen -c6 udp
A fenti parancsok csak azokat a csomagokat rögzítik, amelyek az „udp” protokollhoz tartoznak.
A szűrési opciók kombinálása logikai operátorok segítségével:
Különböző szűrési lehetőségek kombinálhatók olyan logikai operátorokkal, mint a „és / vagy”:
$ sudo tcpdump -i bármilyen -c6 -nn hoszt 10.0.2.15. és a 443. port
A rögzített adatok tárolása:
A megragadott adatokat fájlba menthetjük, hogy később figyelemmel kísérhessük őket. Ehhez a „-w” opciót kell használni, és a „w” az „írást” jelenti:
$ sudo tcpdump -i bármilyen -c5 -w packetData.pcap
A fájl kiterjesztése a következő lenne:.pcap ”, ami a„ packet capture ”rövidítése.”Miután a rögzítés megtörtént, a fájl a helyi meghajtóra kerül. Ez a fájl semmilyen szövegszerkesztő programmal nem nyitható meg és nem olvasható el. Elolvasásához használja a-r”Zászló„ tcpdump ”jelzéssel:
$ tcpdump -r packetData.pcap
Következtetés:
A „tcpdump” egy értékes és rugalmas eszköz a hálózati forgalom rögzítésére és elemzésére a hálózati problémák elhárításához. Ez az útmutató a „tcpdump” parancssori segédprogram alapvető és haladó használatának megismerésére irányul. De ha nehéznek találja, akkor van egy kevésbé összetett GUI alapú program, a „Wireshark”, amely nagyjából ugyanazt a munkát látja el, de különféle kiegészítő funkciókkal.