Tcpdump on pakettanalüsaator, mida kasutatakse võrguprobleemide diagnoosimiseks ja analüüsimiseks. See haarab teie seadet läbiva võrguliikluse ja vaatab selle üle. Tööriist „tcpdump” on võimas tööriist võrguprobleemide tõrkeotsinguks. Sellel on palju võimalusi, mis muudab võrguprobleemide lahendamiseks mitmekülgse käsurea utiliidi.
See postitus on üksikasjalik juhend utiliidi “tcpdump” kohta, mis sisaldab selle installimist, ühiseid funktsioone ja kasutamist erinevate võimalustega. Alustame installimisega:
Kuidas installida tcpdump:
Paljude distributsioonide puhul tuleb „tcpdump” kastist välja ja selle kontrollimiseks kasutage järgmist:
$ mis tcpdump
Kui seda teie jaotusest ei leia, installige see järgmiselt:
$ sudo apt install tcpdumpÜlaltoodud käsku kasutatakse Debiani-põhiste jaotuste jaoks, näiteks Ubuntu ja LinuxMint. Redhat ja CentOS kasutage järgmist
$ sudo dnf install tcpdumpPakettide hõivamine tcpdumpiga:
Pakettide hõivamiseks saab kasutada erinevaid liideseid. Liideste loendi saamiseks kasutage järgmist:
$ sudo tcpdump -D
Või kasutage pakettide saamiseks aktiivsest liidesest lihtsalt käsku „tcpdump” käsku „ükskõik milline”. Pakettide hõivamise kasutamise alustamiseks toimige järgmiselt
$ sudo tcpdump - liides mis tahes
Ülaltoodud käsk jälgib pakette kõigist aktiivsetest liidestest. Pakette haaratakse pidevalt, kuni kasutaja saab katkestuse (ctrl-c).
Samuti võime piirata hõivatavate pakettide arvu, kasutades lippu -c, mis tähistab arvu."Kolme paketi hõivamiseks kasutage järgmist:
$ sudo tcpdump -i kõik -c3
Ülaltoodud käsk on kasulik konkreetse paketi filtreerimiseks. Pealegi nõuab ühenduvusprobleemide tõrkeotsing ainult mõne esialgse paketi hõivamist.
"tcpdump”Käsk haarab vaikimisi IP- ja pordinimedega paketid, kuid puhastamiseks, segaduseks ja väljundi hõlpsamaks mõistmiseks; nimed saab keelata, kasutades-n"Ja"-nn”Sadama valiku jaoks:
$ sudo tcpdump -i kõik -c3 -nn
Nagu ülaltoodud väljundist nähtub, on IP ja pordi nimed välja võetud.
Kuidas saada teavet hõivatud paketi kohta:
Püütud paketi erinevate väljade tundmaõppimiseks võtame näite TCP-paketist:
Paketil võib olla mitu välja, kuid üldised kuvatakse ülal. Esimene väli09:48:18.960683,”Tähistab paketi vastuvõtmise aega. Edasi tulevad IP-aadressid; esimene IP [216.58.209.130] on lähte-IP ja teine IP [10.0.2.15.55812] on sihtkoha IP. Siis saate lipu [P.]; allpool on toodud tüüpiliste lippude loend:
Lipp | Tüüp | Kirjeldus |
".” | ACK | Tähistab tunnustust |
S | SYN | Lipp ühenduse loomiseks |
F | FIN | Suletud ühenduse lipp |
P | TÕUKA | Näitab saatja andmete tõukamist |
R | RST | Ühenduse lähtestamine |
Ja järgmisena tuleb järjekorranumber “järgnevad 185: 255”. Klient ja server kasutavad andmete säilitamiseks ja jälgimiseks 32-bitist järjekorranumbrit.
"ack”On lipp; kui see on 1, tähendab see, et kinnitusnumber on kehtiv ja vastuvõtja ootab järgmist bait.
Akna number näitab puhvri suurust. "võit 65535”Tähendab andmete hulka, mida saab puhverdada.
Ja lõpuks tuleb pikkus [70] paketi baitides, mis on erinevus "185: 255”.
Pakettide filtreerimine võrguprobleemide lahendamiseks:
Tööriist „tcpdump” haarab sadu pakette ja enamik neist on vähem tähtsad, mistõttu on vajaliku teabe hankimine tõrkeotsinguks palju keerulisem. Sel juhul täidab filtreerimine oma rolli. Näiteks tõrkeotsingu ajal, kui teid ei huvita teatud tüüpi liiklus, saate selle filtreerida, kasutades tcpdump'i, mis on pakettide filtreerimine vastavalt IP-aadressidele, portidele ja protokollidele.
Paketi hõivamine paketi hostinimi abil käsuga tcpdump:
Paketi saamiseks ainult kindlalt hostilt kasutage järgmist
$ sudo tcpdump -i mis tahes -c4 host 10.0.2.15
Kui soovite saada ainult ühesuunalist liiklust, kasutagesrc"Ja"dst”Valikudperemees.”
Paketi hõivamine tcpdump käsuga pordi numbri abil:
Pordinumbriga pakettide filtreerimiseks kasutage järgmist
$ sudo tcpdump -i ükskõik milline -c3 -nn port 443
“443” on HTTPS-pordi number.
Paketi püüdmine protokolli abil käsuga tcpdump:
Käsuga “tcpdump” saate pakette filtreerida vastavalt mis tahes protokollile, näiteks udp, icmp, arp jne. Sisestage lihtsalt protokolli nimi:
$ sudo tcpdump -i suvaline -c6 udp
Ülaltoodud käsud hõivavad ainult pakette, mis kuuluvad protokolli “udp”.
Filtreerimisvalikute ühendamine loogiliste operaatorite abil:
Erinevaid filtreerimisvalikuid saab kombineerida loogiliste operaatorite, näiteks “ja / või” abil:
$ sudo tcpdump -i suvaline -c6 -nn host 10.0.2.15 ja sadam 443
Püütud andmete salvestamine:
Haaratud andmeid saab faili salvestada, et neid hiljem jälgida, ja selleks kasutatakse valikut “-w” ning “w” tähistab “kirjutamist”:
$ sudo tcpdump -i kõik -c5 -w packetData.pcap
Faili laiendus oleks.pcap, mis tähistab pakettide hõivamist.”Kui jäädvustamine on tehtud, salvestatakse fail teie kohalikku draivi. Seda faili ei saa ühegi tekstiredaktori programmiga avada ega lugeda. Selle lugemiseks kasutage-r”Lipp tähisega“ tcpdump ”:
$ tcpdump -r packetData.pcap
Järeldus:
Tcpdump on väärtuslik ja paindlik tööriist võrguliikluse hõivamiseks ja analüüsimiseks võrguprobleemide tõrkeotsinguks. Selle juhendi tähelepanu on õppida käsurea utiliidi „tcpdump” põhi- ja täpsemat kasutamist. Aga kui teil on raske, siis on olemas vähem keeruline GUI-põhine programm nimega “Wireshark”, mis teeb suures osas sama tööd, kuid sisaldab erinevaid lisavõimalusi.