Phenquestions
„tcpdump” to analizator pakietów służący do diagnozowania i analizowania problemów z siecią. Przechwytuje ruch sieciowy przechodzący przez Twoje urządzenie i przegląda je. Narzędzie „tcpdump” to potężne narzędzie do rozwiązywania problemów z siecią. Posiada wiele opcji, co czyni go wszechstronnym narzędziem wiersza poleceń do rozwiązywania problemów z siecią.
Ten post jest szczegółowym przewodnikiem na temat narzędzia „tcpdump”, który obejmuje jego instalację, typowe funkcje i używanie z różnymi opcjami. Zacznijmy od instalacji:
Jak zainstalować „tcpdump”:
W wielu dystrybucjach „tcpdump” wychodzi z pudełka i aby to sprawdzić, użyj:
$który tcpdump
Jeśli nie ma go w twojej dystrybucji, zainstaluj go za pomocą:
$sudo apt zainstaluj tcpdumpPowyższe polecenie będzie używane w dystrybucjach opartych na Debianie, takich jak Ubuntu i LinuxMint. W przypadku „Redhat” i „CentOS” użyj:
$sudo dnf zainstaluj tcpdumpJak przechwytywać pakiety za pomocą tcpdump:
Do przechwytywania pakietów można używać różnych interfejsów. Aby uzyskać listę interfejsów, użyj:
$sudo tcpdump -D
Lub po prostu użyj „any” z poleceniem „tcpdump”, aby pobrać pakiety z aktywnego interfejsu. Aby rozpocząć przechwytywanie pakietów, użyj:
$sudo tcpdump --interfejs dowolny
Powyższe polecenie śledzi pakiety ze wszystkich aktywnych interfejsów. Pakiety będą stale pobierane, dopóki nie zostaną przerwane przez użytkownika (ctrl-c).
Możemy również ograniczyć liczbę pakietów do przechwycenia za pomocą flagi „-c”, która oznacza „liczba.” Aby przechwycić 3 pakiety, użyj:
$sudo tcpdump -i dowolny -c3
Powyższe polecenie jest przydatne do filtrowania określonego pakietu. Co więcej, rozwiązywanie problemów z łącznością wymaga przechwycenia tylko kilku początkowych pakietów.
„tcpdump” polecenie domyślnie przechwytuje pakiety z adresami IP i nazwami portów, ale w celu oczyszczenia, bałaganu i ułatwienia zrozumienia danych wyjściowych; nazwy można wyłączyć za pomocą „-nie" i "-nn” dla opcji portu:
$sudo tcpdump -i dowolny -c3 -nn
Jak pokazano na powyższym wyjściu, nazwy IP i portów zostały usunięte.
Jak zrozumieć informacje o przechwyconym pakiecie:
Aby poznać różne pola przechwyconego pakietu, weźmy przykład pakietu TCP:
Pakiet może mieć różne pola, ale te ogólne są pokazane powyżej. Pierwsze pole „09:48:18.960683,”oznacza czas odebrania pakietu. Dalej są adresy IP; pierwszy adres IP [216.58.209.130] to źródłowy adres IP, a drugi adres IP [10.0.2.15.55812] to docelowy adres IP. Wtedy zdobędziesz flagę [P.]; lista typowych flag znajduje się poniżej:
| Flaga | Rodzaj | Opis |
| “.” | POTWIERDZ | Oznacza potwierdzenie |
| S | SYN | Flaga do rozpoczęcia połączenia |
| fa | PŁETWA | Flaga dla zamkniętego połączenia |
| P | PCHAĆ | Wskazuje wypychanie danych od nadawcy |
| R | RST | Resetowanie połączenia |
A potem przychodzi numer sekwencyjny „seq 185:255”. Zarówno klient, jak i serwer używają 32-bitowego numeru sekwencyjnego do utrzymywania i monitorowania danych.
„potwierdzam” to flaga; jeśli wynosi 1, oznacza to, że numer potwierdzenia jest ważny, a odbiorca oczekuje następnego bajtu.
Numer okna wskazuje rozmiar bufora. “wygraj 65535” oznacza ilość danych, które można buforować.
I w końcu przychodzi długość [70] pakietu w bajtach, co jest różnicą „185:255”.
Filtrowanie pakietów w celu rozwiązania problemów z siecią:
Narzędzie „tcpdump” przechwytuje setki pakietów, a większość z nich ma mniejsze znaczenie, co sprawia, że uzyskanie potrzebnych informacji do rozwiązywania problemów jest bardzo skomplikowane. W takim przypadku filtrowanie spełni swoją rolę. Na przykład podczas rozwiązywania problemów, jeśli nie jesteś zainteresowany konkretnym rodzajem ruchu, możesz go filtrować za pomocą „tcpdump”, który zawiera filtrowanie pakietów według adresów IP, portów i protokołów.
Jak przechwycić pakiet przy użyciu nazwy hosta za pomocą polecenia tcpdump:
Aby pobrać pakiet tylko z określonego hosta, użyj:
$sudo tcpdump -i dowolny -c4 host 10.0.2.15
Jeśli chcesz uzyskać tylko ruch jednokierunkowy, użyj „src" i "czas” opcje w miejscu “gospodarz.”
Jak przechwycić pakiet przy użyciu numeru portu za pomocą polecenia tcpdump:
Aby filtrować pakiety z numerem portu, użyj:
$sudo tcpdump -i dowolny -c3 -nn port 443
„443” to numer portu HTTPS.
Jak przechwycić pakiet przy użyciu protokołu za pomocą polecenia tcpdump:
Za pomocą polecenia „tcpdump” możesz filtrować pakiety zgodnie z dowolnym protokołem, takim jak udp, icmp, arp itp. Wystarczy wpisać nazwę protokołu:
$sudo tcpdump -i dowolny -c6 udp
Powyższe polecenia będą przechwytywać tylko pakiety należące do protokołu „udp”.
Jak połączyć opcje filtrowania za pomocą operatorów logicznych:
Różne opcje filtrowania można łączyć za pomocą operatorów logicznych, takich jak „i/lub”:
$sudo tcpdump -i any -c6 -nn host 10.0.2.15 i port 443
Jak przechowywać przechwycone dane:
Pobrane dane można zapisać do pliku, aby później je monitorować, a do tego zostanie użyta opcja „-w”, a „w” oznacza „zapis”:
$sudo tcpdump -i any -c5 -w dane_pakietu.PCAP
Rozszerzeniem pliku będzie „.pcap”, co oznacza „przechwytywanie pakietów.” Po zakończeniu przechwytywania plik zostanie zapisany na dysku lokalnym. Tego pliku nie można otworzyć ani odczytać za pomocą żadnego programu do edycji tekstu. Aby go przeczytać, użyj „-r” flaga z „tcpdump”:
$tcpdump -r pakietDane.PCAP
Wniosek:
„tcpdump” to cenne i elastyczne narzędzie do przechwytywania i analizowania ruchu sieciowego w celu rozwiązywania problemów z siecią. W tym przewodniku należy zapoznać się z podstawowym i zaawansowanym użyciem narzędzia wiersza poleceń „tcpdump”. Ale jeśli okaże się to trudne, istnieje mniej złożony program oparty na GUI o nazwie „Wireshark”, który wykonuje prawie tę samą pracę, ale z różnymi dodatkowymi funkcjami.
