TCPDUMPi juhend algajatele

Tcpdump on tasuta ja avatud lähtekoodiga traadita andmesidevõrgu pakettanalüsaator, mis töötab käsurea liidesel. See on võrguliikluse analüüsimiseks kõige sagedamini kasutatav CLI-tööriist. Tcpdump võimaldab kasutajatel näha, lugeda või hõivata arvutiga ühendatud võrgu kaudu edastatud võrguliiklust. See on kasulik süsteemihalduses, võrguliikluse jälgimisel (probleemide korral või muul viisil).

Algselt kirjutasid selle 1988. aastal neli võrgustiku uurimisrühma töötajad Californias Lawrence Berkeley laboris. Selle korraldasid üksteist aastat hiljem Micheal Richardson ja Bill Fenner 1999. aastal, kes lõid saidi tcpdump. Tcpdump töötab kõikides Unixi-laadsetes operatsioonisüsteemides. Tcpdumpi Windowsi versiooni nimetatakse WinDumpiks ja see kasutab Windowsi alternatiivi libpcapile WinPcap.

Kasutage tcpdumpi installimiseks nuppu:

$ sudo snap install tcpdump

Kasutage tcpdumpi installimiseks oma paketihaldurit:

$ sudo apt-get install tcpdump (Debian / Ubuntu)
$ sudo dnf install tcpdump (CentOS / RHEL 6 ja 7)
$ sudo yum install tcpdump (Fedora / CentOS / RHEL 8)

Vaatame tcpdumpi uurimisel erinevaid kasutusviise ja väljundeid!

UDP

Tcpdump võib ka UDP-pakette tühjendada. UDP-paketi saatmiseks ja seejärel selle tühjendamiseks kasutame tööriista netcat (nc).

$ echo -n "tcpdumper" | nc -w 1 -u localhost 1337

Ülaltoodud käsus saadame stringist koosneva UDP paketi „Tcpdumper” UDP porti 1337 kaudu kohalik host. Tcpdump hõivab UDP-pordi 1337 kaudu saadetava paketi ja kuvab selle.

Selle paketi tühjendame nüüd tcpdumpi abil.

$ sudo tcpdump -i lo udp port 1337 -vvv -X

See käsk haarab ja kuvab pakettidest saadud andmeid nii ASCII kui ka heksakujulisena.

tcpdump: lo kuulamine, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, nihe 0, lipud [DF], UDP proto (17), pikkus 37)
kohalik host.54574> kohalik host.1337: [halb udp cksum 0xfe24 -> 0xeac6!] UDP, pikkus 9
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E…%… @.@…;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $ tcpd
0x0020: 756d 7065 72 päise

Nagu näeme, saadeti pakett pordile 1337 ja stringina oli pikkus 9 tcpdumper on 9 baiti. Samuti näeme, et pakett on kuvatud kuuskantvormingus.

DHCP

Tcpdump saab läbi DHCP-pakettide uurida ka võrgu kaudu. DHCP kasutab UDP-porti nr 67 või 68, seega määratleme ja piirame tcpdumpi ainult DHCP-pakettide jaoks. Oletame, et kasutame wifi võrguliidest.
Siin kasutatakse järgmist käsku:

$ sudo tcpdump -i wlan0 port 67 või port 68 -e -n -vvv
tcpdump: kuulamine wlan0-l, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
03:52:04.004356 00: 11: 22: 33: 44: 55> 00: 11: 22: 33: 44: 66, ethertype IPv4 (0x0800), pikkus 342: (tos 0x0, ttl 64, id 39781, nihe 0, lipud [DF ], UDP proto (17), pikkus 328)
192.168.10.21.68> 192.168.10.1.67: [udp summa ok] BOOTP / DHCP, taotlus alates 00: 11: 22: 33: 44: 55, pikkus 300, xid 0xfeab2d67, lipud [puudub] (0x0000)
Klient-IP 192.168.10.16
Kliendi-Ethernet-aadress 00: 11: 22: 33: 44: 55
Müüja-rfc1048 laiendused
Maagiline küpsis 0x63825363
DHCP-teade (53), pikkus 1: vabastamine
Serveri ID (54), pikkus 4: 192.168.10.1
Hostinimi (12), pikkus 6: "papagoi"
LÕPP (255), pikkus 0
PAD (0), pikkus 0, toimub 42

DNS

DNS, tuntud ka kui domeeninimede süsteem, kinnitab, et pakub teile otsitavat, sobitades domeeninime domeeniaadressiga. Oma seadme DNS-taseme Interneti-ühenduse kontrollimiseks võite kasutada tcpdump'i järgmisel viisil. DNS kasutab suhtlemiseks UDP-porti 53.

$ sudo tcpdump -i wlan0 udp port 53
tcpdump: kuulamine wlan0-l, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, nihe 0, lipud [DF], UDP proto (17), pikkus 72)
192.168.10.16.45899> üks.üks.üks.üks.domeen: [udp summa ok] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, nihe 0, lipud [DF], UDP proto (17), pikkus 104)
üks.üks.üks.üks.domeen> 192.168.10.16.45899: [udp summa ok] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249, mozilla.cloudflare-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, nihe 0, lipud [DF], UDP proto (17), pikkus 66)
192.168.10.16.34043> üks.üks.üks.üks.domeen: [udp summa ok] 40757+ PTR? 1.1.1.1.in-addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, nihe 0, lipud [DF], UDP proto (17), pikkus 95)
üks.üks.üks.üks.domeen> 192.168.10.16.34043: [udp summa ok] 40757 q: PTR? 1.1.1.1.in-addr.arpa. 1/0/0 1.1.1.1.in-addr.arpa. [26m53s] PTR üks.üks.üks.üks. (67)

ARP

Aadressi eraldusprotokolli kasutatakse lingikihi aadressi, näiteks MAC-aadressi avastamiseks. See on seotud antud internetikihi aadressiga, tavaliselt IPv4-aadressiga.

Arp-pakettides sisalduvate andmete hõivamiseks ja lugemiseks kasutame tcpdumpi. Käsk on sama lihtne kui:

$ sudo tcpdump -i wlan0 arp -vvv
tcpdump: kuulamine wlan0-l, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), taotle kellel on 192.168.10.1 ütle 192.168.10.2, pikkus 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), taotle kellel on 192.168.10.21 ütle 192.168.10.1, pikkus 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), Vasta 192.168.10.21 on-kell 00: 11: 22: 33: 44: 55 (oui teadmata), pikkus 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), taotle, kellel on 192.168.10.1 ütle 192.168.10.2, pikkus 28

ICMP

ICMP, tuntud ka kui Interneti kontrollsõnumiprotokoll, on Interneti-protokollide paketi toetav protokoll. Informatsiooniprotokollina kasutatakse ICMP-d.

Kõigi liidese ICMP-pakettide kuvamiseks võime kasutada seda käsku:

$ sudo tcpdump icmp -vvv
tcpdump: kuulamine wlan0-l, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, nihe 0, lipud [DF], proto-ICMP (1), pikkus 84)
192.168.10.16> 192.168.10.1: ICMP kaja päring, ID 47363, järgnev 1, pikkus 64
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, nihe 0, lipud [puudub], proto-ICMP (1), pikkus 84)
192.168.10.1> 192.168.10.16: ICMP kajavastus, ID 47363, järgnev 1, pikkus 64
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, nihe 0, lipud [DF], proto-ICMP (1), pikkus 84)
192.168.10.16> 192.168.10.1: ICMP kaja päring, ID 47363, järgnev 2, pikkus 64
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, nihe 0, lipud [pole], ICMP proto (1), pikkus 84)
192.168.10.1> 192.168.10.16: ICMP kajavastus, ID 47363, järgnev 2, pikkus 64

NTP

NTP on võrguprotokoll, mis on loodud spetsiaalselt masinate võrgus oleva aja sünkroniseerimiseks. Liikluse hõivamiseks ntp-s:

$ sudo tcpdump dst port 123
04:31:05.547856 IP (tos 0x0, ttl 64, id 34474, nihe 0, lipud [DF], UDP proto (17), pikkus 76)
192.168.10.16.ntp> aeg-b-wvv.nist.gov.ntp: [udp summa ok] NTPv4, klient, pikkus 48
Hüppeindikaator: kell sünkroniseerimata (192), Stratum 0 (täpsustamata), küsitlus 3 (8s), täpsus -6
Juure viivitus: 1.000000, juurte hajumine: 1.000000, viitenumber: (unspec)
Viite ajatempel: 0.000000000
Algataja ajatempel: 0.000000000
Saada ajatempel: 0.000000000
Edastamise ajatempel: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Algataja - vastuvõtu ajatempel: 0.000000000
Algataja - edastuse ajatempel: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, nihe 0, lipud [puudub], UDP proto (17), pikkus 76)
aeg-b-wvv.nist.gov.ntp> 192.168.10.16.ntp: [udp summa ok] NTPv3, server, pikkus 48
Hüppeindikaator: (0), Stratum 1 (esmane viide), küsitlus 13 (8192s), täpsus -29
Juure viivitus: 0.000244, juurte hajumine: 0.000488, viide-ID: NIST
Viide ajatempel: 3825358208.000000000 (2021-03-21T23: 30: 08Z)
Algataja ajatempel: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Saada ajatempel: 3825358275.028660181 (2021-03-21T23: 31: 15Z)
Edastamise ajatempel: 3825358275.028661296 (2021-03-21T23: 31: 15Z)
Algataja - vastuvõtu ajatempel: +9.480896026
Algataja - edastuse ajatempel: +9.480897141

SMTP

SMTP-d ehk lihtsat kirjade edastamise protokolli kasutatakse peamiselt meilide jaoks. Tcpdump saab seda kasutada kasuliku e-posti teabe hankimiseks. Näiteks e-posti adressaatide / saatjate väljavõtmiseks tehke järgmist

$ sudo tcpdump -n -l port 25 | grep -i 'MEIL FROM \ | RCPT-st'

IPv6

IPv6 on IP-i järgmine põlvkond, pakkudes laia valikut IP-aadresse. IPv6 aitab saavutada Interneti pikaajalist tervist.

IPv6-liikluse hõivamiseks kasutage ip6-filtrit, määrates TCP- ja UDP-protokollid, kasutades proto 6 ja proto-17.

$ sudo tcpdump -n -i mis tahes ip6 -vvv
tcpdump: andmeside tüüp LINUX_SLL2
tcpdump: mis tahes kuulamine, link-tüüpi LINUX_SLL2 (Linux Cooked v2), hetktõmmise pikkus 262144 baiti
04:34:31.847359 lo IP6-s (voosilt 0xc7cb6, hlim 64, järgmise päise UDP (17) kasuliku koormuse pikkus: 40) :: 1.49395> :: 1.49395: [halb udp cksum 0x003b -> 0x3587!] UDP, pikkus 32
04:34:31.859082 lo IP6-s (voosilt 0xc7cb6, hlim 64, järgmise päise UDP (17) kasuliku koormuse pikkus: 32) :: 1.49395> :: 1.49395: [halb udp cksum 0x0033 -> 0xeaef!] UDP, pikkus 24
04:34:31.860361 lo IP6-s (voosilt 0xc7cb6, hlim 64, järgmise päise UDP (17) kasuliku koormuse pikkus: 40) :: 1.49395> :: 1.49395: [halb udp cksum 0x003b -> 0x7267!] UDP, pikkus 32
04:34:31.871100 lo IP6-s (voosilt 0xc7cb6, hlim 64, järgmise päise UDP (17) kasuliku koormuse pikkus: 944) :: 1.49395> :: 1.49395: [halb udp cksum 0x03c3 -> 0xf890!] UDP, pikkus 936
4 pakki püütud
12 paketti saab filtri abil
0 paketti on tuuma poolt maha visatud

'-C 4' pakub pakettide arvu ainult kuni 4 paketti. Saame määrata pakettide arvu n-ni ja hõivata n paketti.

HTTP

Hüperteksti edastamise protokolli kasutatakse andmete edastamiseks veebiserverist brauserisse veebilehtede vaatamiseks. HTTP kasutab TCP-vormisuhtlust. Täpsemalt kasutatakse TCP-porti 80.

Kõigi IPv4 HTTP-pakettide printimiseks pordist 80 ja tagasi:

tcpdump: kuulamine wlan0-l, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
03:36:00.602104 IP (tos 0x0, ttl 64, id 722, nihe 0, lipud [DF], TCP proto (6), pikkus 60)
192.168.10.21.33586> 192.168.10.1.http: Lipud [S], cksum 0xa22b (õige), järgnev 2736960993, win 64240, valikud [mss 1460, sackOK, TS val 389882294 ecr 0, nop, wscale 10], pikkus 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, nihe 0, lipud [DF], TCP proto (6), pikkus 60)
192.168.10.1.http> 192.168.10.21.33586: Lipud [S.], cksum 0x2dcc (õige), seq 4089727666, ack 2736960994, win 14480, valikud [mss 1460, sackOK, TS val 30996070 ecr 389882294, nop, wscale 3], pikkus 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, nihe 0, lipud [DF], TCP proto (6), pikkus 52)
192.168.10.21.33586> 192.168.10.1.http: lipud [.], cksum 0x94e2 (õige), seq 1, ack 1, win 63, valikud [nop, nop, TS val 389882297 ecr 30996070], pikkus 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, nihe 0, lipud [DF], TCP proto (6), pikkus 481)

HTTP taotlused ..

192.168.10.21.33586> 192.168.10.1.http: Lipud [P.], cksum 0x9e5d (õige), seq 1: 430, ack 1, win 63, options [nop, nop, TS val 389882297 ecr 30996070], pikkus 429: HTTP, pikkus: 429
GET / HTTP / 1.1
Saatejuht: 192.168.10.1
Kasutajaagent: Mozilla / 5.0 (Windows NT 10.0; rv: 78.0) Gecko / 20100101 Firefox / 78.0
Nõustu: tekst / html, rakendus / xhtml + xml, rakendus / xml; q = 0.9, pilt / veeb, * / *; q = 0.8
Aktsepteeritav keel: en-USA, en; q = 0.5
Nõustu-kodeerimine: gzip, tühjendage
DNT: 1
Ühendus: hoia elus
Küpsis: _TESTCOOKIESUPPORT = 1; SID = c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Ülemineku-ebaturvalisuse taotlused: 1

Ja ka vastused on tabatud

192.168.10.1.http> 192.168.10.21.33586: Lipud [P.], cksum 0x84f8 (õige), järgnev 1: 523, ack 430, win 1944, valikud [nop, nop, TS val 30996179 ecr 389882297], pikkus 522: HTTP, pikkus: 522
HTTP / 1.1 200 OK
Server: ZTE veebiserver 1.0 ZTE corp 2015.
Accept-Ranges: baidid
Ühendus: sulgege
X-Frame-Options: SAMEORIGIN
Vahemälu juhtimine: vahemälu puudub, pood puudub
Sisu pikkus: 138098
Määra küpsis: _TESTCOOKIESUPPORT = 1; PATH = /; HttpAinult
Sisu tüüp: tekst / html; tähemärk = utf-8
X-Content-Type-Options: nuusutamine
Sisu-turvalisuse-poliitika: esivanemate raamistik "ise" "ohtlik-sisemine" "ohtlik-eval"; img-src "ise" andmed :;
X-XSS-kaitse: 1; režiim = blokeeri
Määra küpsis: SID =; aegub = neljapäev, 1. jaanuar 1970 00:00:00 GMT; tee = /; HttpAinult

TCP

Ainult TCP-ga pakettide hõivamiseks teeb see käsk kõike head:

$ sudo tcpdump -i wlan0 tcp
tcpdump: kuulamine wlan0-l, lingi tüüpi EN10MB (Ethernet), hetktõmmise pikkus 262144 baiti
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, nihe 0, lipud [pole], TCP proto (6), pikkus 104)
tl-in-f189.1e100.võrk.https> 192.168.10.16.50272: Lipud [P.], cksum 0xc924 (õige), järg 1377740065: 1377740117, ack 1546363399, win 300, valikud [nop, nop, TS val 13149401 ecr 3051434098], pikkus 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, nihe 0, lipud [DF], TCP proto (6), pikkus 52)
192.168.10.16.50272> tl-in-f189.1e100.võrk.https: lipud [.], cksum 0xf898 (õige), seq 1, ack 52, win 63, options [nop, nop, TS val 3051461952 ecr 13149401], pikkus 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, nihe 0, lipud [DF], TCP proto (6), pikkus 88)
192.168.10.16.50272> tl-in-f189.1e100.võrk.https: lipud [P.], cksum 0x2531 (õige), järgnev 1:37, ack 52, win 63, valikud [nop, nop, TS val 3051463260 ecr 13149401], pikkus 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, nihe 0, lipud [DF], TCP proto (6), pikkus 88)
192.168.10.16.50434> hkg12s18-in-f14.1e100.võrk.https: lipud [P.], cksum 0xb21e (õige), seq 328391782: 328391818, ack 3599854191, win 63, options [nop, nop, TS val 3656137742 ecr 2564108387], pikkus 36
4 pakki püütud
4 paketti saab filtri abil
0 paketti on tuuma poolt maha visatud

Tavaliselt põhjustab TCP pakettide püüdmine palju liiklust; saate täpsustada oma nõuded, lisades püüdmisele filtrid, näiteks:

Sadam
Määrab jälgitava pordi

$ sudo tcpdump -i wlan0 tcp port 2222

Allika IP
Pakettide vaatamiseks määratud allikast

$ sudo tcpdump -i wlan0 tcp src 192.168.10.2

Sihtkoha IP
Pakettide vaatamiseks määratud sihtkohta

$ sudo tcpdump -i wlan0 tcp dst 192.168.10.2

Pakettvõtete salvestamine failidesse

Paketthõive salvestamiseks analüüsi tegemiseks hiljem võime kasutada failinime parameetrit nõudvat tcpdumpi valikut -w. Need failid salvestatakse failina pcap (pakettide hõivamine), mida saab kasutada pakettpiltide salvestamiseks või saatmiseks.

Näiteks:

$ sudo tcpdump -w / jäädvustatud.pcap

Saame filtreid lisada, kui soovime TCP-, UDP- või ICMP-pakette jne.

Pakettide püüdmise lugemine failidest

Kahjuks ei saa te salvestatud faili lugeda tavaliste käskude "read file" (nt kass jne) abil. Väljund on kõike muud kui nämmutav ja failis olevat on raske öelda. '-r' kasutatakse paketti salvestatud pakettide lugemiseks .pcap-fail, mille varem salvestas '-w' või muu tarkvara, mis salvestas pcaps:

$ sudo tcpdump -r / väljundid.pcap

See prindib terminaliekraanile hõivatud pakettidest kogutud andmed loetavas vormingus.

Tcpdump cheatsheet

Tcpdumpi saab kasutada koos teiste Linuxi käskudega nagu grep, sed jne., kasuliku teabe väljavõtmiseks. Siin on mõned kasulikud kombinatsioonid ja märksõnad, mis on tcpdumpiga ühendatud, et saada väärtuslikku teavet.

HTTP kasutajaagentide väljavõtmine:

$ sudo tcpdump -n | grep "Kasutajaagent:"

HTTP kaudu taotletud URL-e saab jälgida näiteks tcpdump abil:

$ sudo tcpdump -v -n | egrep -i "POST / | GET / | Host:"

Sa saad ka Eemaldage HTTP-paroolid POST-taotlustest

$ sudo tcpdump -nn -l | egrep -i "POST / | pwd = | passwd = | parool = | Host:"

Serveri või kliendi poolseid küpsiseid saab välja tõmmata, kasutades järgmist:

$ sudo tcpdump -n | egrep -i 'Määra-küpsis | Host: | Küpsis:'

DNS-i taotluste ja vastuste hõivamiseks kasutage:

$ sudo tcpdump -i wlp58s0 -s0 port 53

Kõigi lihttekstiga paroolide printimine:

$ sudo tcpdump port http või port ftp või port smtp või port imap või port pop3 või port telnet -l -A | egrep -i -B5 'pass = | pwd = | log = | login = | kasutaja = | kasutaja | kasutajanimi = | pw = | parool = | parool = = parool = | pääs: | kasutaja: | kasutajanimi: | parool: | sisselogimine: | pass '

Tavalised Tcpdumpi filtrid

• -A Näitab pakette ASCII-vormingus.
• -c Püütavate pakettide arv.
• -loendama Pakettide arvu printimine ainult jäädvustatud faili lugemisel.
• -e Printige MAC-aadressid ja lingitaseme päised.
• -h või -abi Prindib versiooni ja kasutamise teabe.
• -versioon Kuva ainult versiooni teave.
• -i Määrake võrguliides, kuhu jäädvustada.
• -K Vältige pakettide kontrollsummade kontrollimise katseid. Lisab kiirust.
• -m Määrake kasutatav moodul.
• -n Ärge teisendage aadresse (st.e., hostiaadressid, pordinumbrid jne.) nimedele.
• -number Iga rea ​​algusesse printige valikuline pakettnumber.
• -lk Keela liidese sattumine ebasoodsasse režiimi.
• -Q Valige jäädvustatavate pakettide suund. Saada või vastu võtta.
• -q Vaikne / kiire väljund. Prindib vähem teavet. Väljundid on lühemad.
• -r Kasutatakse pakettide lugemiseks pcapist .
• -t Ärge printige igale prügireale ajatemplit.
• -v Prindib lisateavet väljundi kohta.
• -w Kirjutage toored paketid faili.
• -x Prindib ASCII väljundi.
• -X Prindib ASCII heksaga.
• -loend-liidesed Näitab kõiki saadaolevaid võrguliideseid, kuhu tcpdump pakette saab.

Lõpetamine

Tcpdump on olnud väga laialt kasutatav tööriist, mida kasutatakse turvalisuse / võrkude uurimisel ja rakendustes. Ainsaks puuduseks on tcpdump 'GUI puudub', kuid see on liiga hea, et seda ei suudetaks edetabelites hoida. Nagu kirjutab Daniel Miessler, on „Wiresharki-sugused protokollianalüsaatorid suurepärased, kuid kui soovite pakett-fu tõeliselt valdada, peate kõigepealt saama tcpdumpiga.”