Եթե Ձեզ անհրաժեշտ է վերլուծել կամ խուսափել Linux- ի ցանցային փաթեթները, ապա դա լավագույնն է, որպեսզի օգտվի կոնսոլից: tcpdump. Սակայն խնդիրը ծագում է բավական բարդ կառավարման մեջ: Դա անհարմար թվացյալ սովորողի համար օգտակար կլինի աշխատել, բայց դա միայն առաջին հայացքից է: Հոդվածում կբացատրվի, թե ինչպես է կազմակերպվում tcpdump- ը, ինչ տեքստ ունի, ինչպես օգտագործել այն եւ դրա օգտագործման բազմաթիվ օրինակներ:
Տես նաեւ. Ubuntu- ում, Debian- ում, Ubuntu Server- ում Ինտերնետ կապի ստեղծման համար Tutorials
Տեղադրում
Linux- ի վրա հիմնված օպերացիոն համակարգերի մշակողների մեծ մասը ներառում է tcpdump կոմունալ նախապես տեղադրվածների ցանկում, բայց եթե որեւէ պատճառով դա ձեր բաշխման մեջ չէ, դուք միշտ կարող եք բեռնել եւ տեղադրել այն միջոցով "Տերմինալ". Եթե Ձեր OS- ն հիմնված է Debian- ի վրա, եւ սա Ubuntu, Linux Mint, Kali Linux եւ այլն, դուք պետք է առաջադրեք այս հրամանը.
sudo apt տեղադրել tcpdump
Տեղադրելու համար անհրաժեշտ է մուտքագրել գաղտնաբառ: Խնդրում ենք նկատի ունենալ, որ տպելիս այն չի ցուցադրվում, ինչպես նաեւ հաստատումը տեղադրելու համար պետք է մուտքագրեք բնույթ "D" եւ սեղմեք Մուտքագրեք.
Եթե դուք ունեք Red Hat, Fedora կամ CentOS, տեղադրման հրամանները նման են հետեւյալը.
sudo yam տեղադրել tcpdump
Կոմունալ տեղադրվելուց հետո կարող եք անմիջապես օգտագործել այն: Այս եւ շատ ավելին կքննարկվեն տեքստում ավելի ուշ:
Տես նաեւ. PHP տեղադրման ուղեցույց Ubuntu սերվերի համար
Սինտացիա
Ցանկացած այլ հրամանի նման, tcpdump- ը ունի իր սեփական տառատեսակը: Իմանալով նրան, կարող եք սահմանել բոլոր անհրաժեշտ պարամետրերը, որոնք հաշվի կառնվեն հրամանատարության կատարման ժամանակ: Սինթետիկ է.
tcpdump- ի ինտերֆեյսի ֆիլտրերը
Հրաման օգտագործելով, դուք պետք է նշեք ինտերֆեյսը հետեւելու համար: Զտիչները եւ ընտրանքները պարտադիր փոփոխականներ չեն, բայց թույլ են տալիս ավելի ճկուն կոնֆիգուրացիա:
Ընտրանքներ
Չնայած անհրաժեշտ չէ նշել տարբերակը, դեռեւս անհրաժեշտ է ցուցակագրել առկաները: Աղյուսակը չի ցուցադրում իրենց ամբողջ ցուցակը, բայց միայն ամենատարածվածները, բայց դրանք ավելի շատ են, քան խնդիրները լուծելու համար:
| Տարբերակ | Սահմանում |
|---|---|
| -Ա | Թույլ է տալիս տեսակավորել տեսակները ASCII ձեւաչափով |
| -լ | Ավելացնում է ոլորման գործառույթ: |
| -i | Մտնումուց հետո դուք պետք է նշեք այն ցանցային ինտերֆեյսը, որը վերահսկվելու է: Սկսել հետեւել բոլոր ինտերֆեյսներին, ընտրեք «ցանկացած» բառը: |
| -կ | Ավարտում է հետեւել գործընթացը, ստուգված փաթեթի քանակի ստուգումից հետո: |
| -վ | Գեներացնում է տեքստային ֆայլ `ստուգման հաշվետվությամբ: |
| -հ | Ցույց է տալիս տվյալների փաթեթի ինտերնետային կապի մակարդակը: |
| -Լ | Ցուցադրում է միայն այն արձանագրությունները, որոնք աջակցում են տվյալ ցանցի ինտերֆեյսի կողմից: |
| -Ք | Ստեղծում է մեկ այլ ֆայլ `փաթեթը գրելու ժամանակ, եթե դրա չափը մեծ է, քան նշվածը: |
| -ռ | Բացում է ֆայլի ընթերցման համար, որը ստեղծվել է -w տարբերակով: |
| -j | TimeStamp ձեւաչափը կօգտագործվի փաթեթների ձայնագրման համար: |
| -Ջ | Թույլ է տալիս դիտել բոլոր առկա ձեւաչափերը TimeStamp |
| -Գ | Օգտագործվում է տեղեկամատյաններով ֆայլ ստեղծելու համար: Տարբերակը նաեւ պահանջում է ժամանակավոր արժեք, որից հետո ստեղծվելու է նոր տեղեկագիր |
| -վ, -vv, -վվ | Կախված տարբերակում գտնվող նիշերի թվից, հրամանի արդյունքը կդառնա ավելի մանրամասն (աճը ուղղակիորեն համաչափ է նիշերի թվին) |
| -ֆ | Արդյունքը ցույց է տալիս IP հասցեի դոմենի անվանումը |
| -Ֆ | Թույլ է տալիս Ձեզ կարդալ տեղեկատվությունը ոչ թե ցանցային ինտերֆեյսից, այլ նշված ֆայլից |
| -Դ | Ցույց է տալիս բոլոր ցանցային ինտերֆեյսերը, որոնք կարող են օգտագործվել: |
| -Ն | Դադարեցնում է դոմեյն անունների ցուցադրումը |
| -Z | Հատկորոշում է այն օգտագործողը, որի տակ հաշիվը կստեղծվի բոլոր ֆայլերը: |
| -Ք | Բաց թողնել ստուգումների վերլուծությունը |
| -գ | Համառոտ տեղեկատվության ներկայացում |
| -Հ | Հայտնաբերում է 802.11s վերնագրերը |
| - Ի | Օգտագործվում է մագնիսական ռեժիմում փաթեթներ գրավելիս: |
Ընտրանքները ուսումնասիրելով, ստորեւ մենք անմիջապես դիմում ենք նրանց դիմումներին: Միեւնույն ժամանակ, ֆիլտրերը կքննարկվեն:
Ֆիլտրեր
Ինչպես նշվեց հոդվածի սկզբում, դուք կարող եք ավելացնել ֆիլտրեր tcpdump սինտաքսի մեջ: Այժմ նրանցից ամենատարածվածը կքննարկվի.
| Ֆիլտր | Սահմանում |
|---|---|
| հյուրատուն | Հաստատման անունը նշում է: |
| զուտ | Սահմանում է IP- ի ներքին ցանցը եւ ցանցը |
| ip | Հաստատում է արձանագրության հասցեն |
| src | Ցուցադրում է նշված հասցեից ուղարկված փաթեթները |
| dst | Ցուցադրվում է նշված հասցեով ստացված փաթեթները: |
| arp, udp, tcp | Արձանագրություններից մեկի ֆիլտրում |
| նավահանգիստ | Ցուցադրում է տվյալ նավահանգստի հետ կապված տեղեկատվությունը: |
| եւ, կամ | Օգտագործվում է հրամանով մի քանի ֆիլտր համատեղելու համար: |
| պակաս, ավելի մեծ | Արդյունքների փաթեթները փոքր կամ ավելի մեծ են, քան նշված չափսը |
Վերոհիշյալ բոլոր ֆիլտրերը կարող են զուգակցվել միմյանց հետ, այնպես որ հրաման տալով միայն դիտելու եք այն տեղեկությունները, որոնք ցանկանում եք տեսնել: Ավելի մանրամասնորեն հասկանալ վերը նշված ֆիլտրերի օգտագործումը, արժե օրինակ տալ:
Տես նաեւ. Linux Terminal- ում հաճախ օգտագործվող հրամաններ
Օգտագործման օրինակներ
Հաճախ օգտագործվող tcpdump սինթետիկ տարբերակները այժմ ցուցակվելու են: Բոլորը չեն կարող թվարկվել, քանի որ դրանց տատանումները կարող են անսահման լինել:
Դիտել ինտերֆեյսի ցանկը
Խորհուրդ է տրվում, որ յուրաքանչյուր օգտվող սկզբանե ստուգի բոլոր ցանցային ինտերֆեյսների ցուցակը, որոնք կարող են դիտվել: Ստորեւ բերված աղյուսակում մենք գիտենք, որ դրա համար անհրաժեշտ է օգտագործել տարբերակը -Դ, հետեւաբար, տերմինալում գործում է հետեւյալ հրահանգը.
sudo tcpdump -D
Օրինակ `
Ինչպես տեսնում եք, օրինակ կա ութ ինտերֆեյս, որը կարող է դիտվել tcpdump հրամանի միջոցով: Հոդվածում կներկայացվեն օրինակներ ppp0, կարող եք օգտագործել ցանկացած այլ:
Նորմալ երթեւեկության գրավումը
Եթե Ձեզ անհրաժեշտ է հետեւել մեկ ցանցային ինտերֆեյսի, ապա հնարավոր է դա անել տարբերակով -i. Մի մոռացեք ինտերֆեյսի անունը մտնելուց հետո: Ահա նման հրամանի կատարման օրինակ.
sudo tcpdump -i ppp0
Խնդրում ենք նկատի ունենալ, որ դուք պետք է մուտք գործեք «sudo» նախքան հրամանատարությունը, քանի որ դա պահանջում է գերծանրաբեռնողի իրավունքը:
Օրինակ `
Նշում. «Տերմինալ» մուտքագրելու համար սեղմելուց հետո անջատված փաթեթները կցուցադրվեն շարունակաբար: Հոսքի դադարեցնելու համար հարկավոր է սեղմել Ctrl + C կոճակը:
Եթե դուք գործարկել հրամանն առանց լրացուցիչ ընտրանքների եւ ֆիլտրերի, կտեսնեք հետեւյալ ֆորմատը, ցուցադրվող փաթեթները ցուցադրելու համար.
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Դրոշները [P.], seq 1: 595, 1116, հաղթել 6494, ընտրանքներ [nop, nop, TS val 257060077 ecr 697597623], երկարությունը 594
Որտեղ գույնը կարեւորվում է.
- կապույտ - փաթեթի ստացման ժամանակ;
- նարնջագույն - արձանագրության տարբերակ;
- կանաչ - ուղարկողի հասցեն;
- մանուշակագույն - ստացողի հասցեն;
- գորշ - լրացուցիչ տեղեկատվություն tcp- ի մասին;
- կարմիր - փաթեթի չափը (դրսեւորվում է բայթերում):
Այս շարադրանքը ունի պատուհանին արտադրելու ունակություն "Տերմինալ" առանց լրացուցիչ ընտրանքների օգտագործման:
Ձեռք բերեք երթեւեկությունը -v տարբերակով
Ինչպես հայտնի է սեղանից, տարբերակը -վ թույլ է տալիս բարձրացնել տեղեկատվության ծավալը: Եկեք քննենք մի օրինակ: Ստուգեք նույն ինտերֆեյսը.
sudo tcpdump -v -i ppp0
Օրինակ `
Այստեղ դուք կարող եք տեսնել, որ արդյունքում հայտնվել է հետեւյալ տողը.
IP (tos 0x0, ttl 58, id 30675, օֆսեթ 0, դրոշներ [DF], proto TCP (6), երկարություն 52
Որտեղ գույնը կարեւորվում է.
- նարնջագույն - արձանագրության տարբերակ;
- կապույտ - արձանագրության կյանքը;
- կանաչ - դաշտի վերնագրի երկարությունը;
- tcp փաթեթի մանուշակագույն տարբերակը;
- կարմիր - փաթեթի չափը:
Հրամանների շարադրանքի մեջ նաեւ կարող եք գրել տարբերակը -vv կամ -վվ, որն էլ ավելի կբարձրացնի էկրանին ցուցադրված տեղեկատվության քանակը:
The -w եւ -r տարբերակը
Ընտրանքների աղյուսակը նշում է բոլոր ելքային տվյալները պահելու հնարավորությունը առանձին ֆայլում, որպեսզի դրանք հետագայում դիտվեն: Օպցիոնը դրա համար պատասխանատու է: -վ. Դա բավականին պարզ է օգտագործել, պարզապես մուտքագրեք այն հրամանը եւ այնուհետեւ մուտքագրեք ապագա ֆայլի անունը ընդլայնմամբ ".pcap". Քննենք բոլոր օրինակները.
sudo tcpdump -i ppp0 -w file.pcap- ը
Օրինակ `
Խնդրում ենք նկատի ունենալ, որ ֆայլերի վրա գրառում կատարելու ժամանակ «Տերմինալ» էկրանին տեքստ չի ցուցադրվում:
Երբ դուք ցանկանում եք դիտել ձայնագրված արտադրանքը, անհրաժեշտ է օգտագործել տարբերակը -ռորին հաջորդում է նախկինում արձանագրված ֆայլի անունը: Այն կիրառվում է առանց այլ ընտրանքների եւ ֆիլտրերի.
sudo tcpdump -r file.pcap- ը
Օրինակ `
Այս երկու տարբերակները կատարյալ են այն դեպքերում, երբ անհրաժեշտ է խնայել մեծ քանակությամբ տեքստ, հետագա վերլուծության համար:
IP ֆիլտրում
Զտիչ սեղանից, մենք գիտենք dst թույլ է տալիս ցույց տալ, որ կոնսոլից էկրանին միայն այն փաթեթները, որոնք ստացվել են հրամանների շարադրանքի մեջ նշված հասցեով: Այսպիսով, շատ հարմար է դիտել ձեր համակարգչի կողմից ստացված փաթեթները: Դա անելու համար թիմը պարզապես պետք է ձեր IP հասցեն նշի.
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Օրինակ `
Ինչպես տեսնում եք, բացի այդ dst, թիմում գրանցեցինք զտիչը ip. Այլ կերպ ասած, մենք համակարգչին ասել ենք, որ փաթեթներ ընտրելով, նա ուշադրություն կդարձնի նրանց IP հասցեին, այլ ոչ թե այլ պարամետրերին:
IP- ի միջոցով Դուք կարող եք զտել եւ ուղարկել փաթեթներ: Այս օրինակում մենք կրկին մեր IP- ն ենք տալիս: Այսինքն, մենք այժմ հետեւելու ենք, որ փաթեթները ուղարկվում են մեր համակարգչից այլ հասցեներ: Դա անելու համար վարեք հետեւյալ հրահանգը.
sudo tcpdump -i ppp0 ip src 10.0.6.67
Օրինակ `
Ինչպես տեսնում եք, մենք փոփոխեցինք զտիչը հրամանի տեքստում: dst ին src, դրանով իսկ ասելով, որ մեքենան IP- ով ուղարկողը որոնում է:
HOST զտիչ
Համանախագահների հետ IP- ի նման, մենք կարող ենք սահմանել զտիչ հյուրատունշուկայահանելու փաթեթներ: Այսինքն, սինտագրության մեջ ուղարկողի / ստացողի IP հասցեի փոխարեն, հարկավոր է նշել իր հյուրընկալողը: Դա կարծես սա է.
sudo tcpdump -i ppp0 dst հոստը google-public-dns-a.google.com
Օրինակ `
Պատկերում դուք կարող եք տեսնել այն "Տերմինալ" Ցուցադրված են միայն մեր IP- ից google.com- ի սերվերից ուղարկված փաթեթները: Ինչպես տեսնում եք, google- ի հյուրընկալողի փոխարեն կարող եք մուտքագրել որեւէ այլ:
Ինչպես IP զտման միջոցով, շարադրանքը հետեւյալն է. dst կարող է փոխարինվել srcՁեր համակարգչին ուղարկված փաթեթները տեսնելը,
sudo tcpdump -i ppp0 src սերվերը google-public-dns-a.google.com
Նշում. Հյուրընկալող ֆիլտրը պետք է լինի dst կամ src- ից հետո, հակառակ դեպքում հրամանը կստեղծի սխալ: IP- ի զտման դեպքում, ընդհակառակը, dst եւ src- ը IP ֆիլտրի դիմաց են:
Զտում եւ կամ
Եթե դուք պետք է միանգամից մի հրամանով մի քանի ֆիլտր օգտագործեք, ապա դուք պետք է կիրառեք զտիչ: եւ կամ կամ (կախված գործին): Սինթետիկների ֆիլտրերը նշելով եւ դրանք բաժանելով դրանք այդ օպերատորների հետ, դուք «կատարել» եք դրանք որպես մեկը: Օրինակ, այսպես է թվում.
sudo tcpdump -i ppp0 ip dst 95.47.144.254 կամ ip src 95.47.144.254
Օրինակ `
Հրամանների շարադրանքից դուք կարող եք տեսնել, որ մենք ուզում ենք ցուցադրել "Տերմինալ" բոլոր փաթեթները, որոնք ուղարկվել են 95.47.144.254 հասցեին եւ նույն հասցեով ստացված փաթեթներին: Դուք կարող եք նաեւ փոխել որոշ փոփոխականներ այս արտահայտության մեջ: Օրինակ, IP- ի փոխարեն նշեք HOST- ը կամ անմիջապես փոխարինեք հասցեները:
Զտել նավահանգիստը եւ portrange- ը
Ֆիլտր նավահանգիստ կատարյալ է, երբ դուք պետք է տեղեկություններ ստանալ հատուկ փաթեթի փաթեթների մասին: Այսպիսով, եթե միայն անհրաժեշտ է պատասխաններ կամ DNS հարցումներ դիտել, դուք պետք է նշեք նավահանգիստ 53:
sudo tcpdump -vv -i ppp0 port 53
Օրինակ `
Եթե ցանկանում եք դիտել http փաթեթները, դուք պետք է մուտք գործեք 80:
sudo tcpdump -vv -i ppp0 port 80
Օրինակ `
Ի թիվս այլ բաների, կարելի է հետեւել անմիջապես նավահանգիստների շարքին: Դա անելու համար կիրառեք զտիչը portrange- ը:
sudo tcpdump portrange 50-80
Ինչպես տեսնում եք, զտիչի հետ միասին portrange- ը Անհրաժեշտ չէ լրացուցիչ տարբերակներ սահմանել: Պարզապես սահմանեք տիրույթը:
Արձանագրության ֆիլտրում
Դուք կարող եք նաեւ ցույց տալ միայն այն երթեւեկությունը, որը համապատասխանում է ցանկացած արձանագրությանը: Դա անելու համար օգտագործեք այս արձանագրության անունը որպես զտիչ: Եկեք նայենք օրինակին udp:
sudo tcpdump -vvv -i ppp0 udp
Օրինակ `
Ինչպես տեսնում եք պատկերում, հրամանը կատարելով "Տերմինալ" ցուցադրվեցին միայն արձանագրությունների փաթեթները udp. Հետեւաբար, կարող եք զտել ուրիշների կողմից, օրինակ, arp:
sudo tcpdump -vvv -i ppp0 arp
կամ tcp:
sudo tcpdump -vvv -i ppp0 tcp
Զտեք ցանցը
Օպերատոր զուտ օգնում է զտել փաթեթները, հիմնվելով իրենց ցանցի նշանակման վրա: Այնքան հեշտ է օգտագործել որպես մնացածը, դուք պետք է նշեք հատկանիշը սինտաքսի մեջ զուտ, ապա մուտքագրեք ցանցի հասցեն: Ահա նման հրամանի օրինակ:
sudo tcpdump -i ppp0 net 192.168.1.1
Օրինակ `
Փաթեթի չափով զտեք
Մենք եւս երկու հետաքրքիր զտիչներ չենք համարում. պակաս եւ ավելի մեծ. Ֆիլտրերի սեղանից, մենք գիտենք, որ նրանք ծառայում են ավելի շատ տվյալների փաթեթներ արտադրելու (պակաս) կամ պակաս (ավելի մեծ) հատկանիշից հետո նշված չափը:
Ենթադրենք, մենք միայն ուզում ենք վերահսկել փաթեթները, որոնք չեն գերազանցում 50 բիթը, ապա հրամանն այսպիսին կլինի:
sudo tcpdump -i ppp0 պակաս 50
Օրինակ `
Այժմ եկեք ցուցադրենք "Տերմինալ" ավելի քան 50 բիթանոց փաթեթներ.
sudo tcpdump -i ppp0 ավելի քան 50
Օրինակ `
Ինչպես տեսնում եք, դրանք օգտագործվում են հավասարապես, միակ տարբերությունը ֆիլտրի անունն է:
Եզրակացություն
Հոդվածի վերջում կարող ենք եզրակացնել, որ թիմը tcpdump - Սա հիանալի գործիք է, որի հետ կարելի է հետեւել Ինտերնետում փոխանցված ցանկացած տվյալների փաթեթին: Բայց դրա համար պարզապես բավարար չէ հրամանին ներս մտնել "Տերմինալ". Ցանկալի արդյունքի հասնելու համար կստանաք միայն այն դեպքում, եթե դուք օգտագործում եք տարբեր տեսակի ընտրանքներ եւ զտիչներ, ինչպես նաեւ դրանց համակցությունները:
