Ikiwa unahitaji kuchambua au kuepuka pakiti za mtandao kwenye Linux, ni vyema kutumia matumizi ya console kwa hili. tcpdump. Lakini tatizo linatokea katika usimamizi wake ngumu zaidi. Inaonekana kuwa haifai kwa mtumiaji wa kawaida kufanya kazi na matumizi, lakini hii ni kwa mtazamo wa kwanza tu. Makala itaelezea jinsi tcpdump imeandaliwa, ni nini syntax, jinsi ya kuitumia, na mifano mingi ya matumizi yake itapewa.
Angalia pia: Tutorials kwa kuanzisha uhusiano Internet katika Ubuntu, Debian, Ubuntu Server
Ufungaji
Watengenezaji wengi wa mifumo ya uendeshaji ya Linux ni pamoja na tcpdump shirika katika orodha ya kabla ya imewekwa, lakini ikiwa kwa sababu fulani si katika usambazaji wako, unaweza daima kupakua na kuiweka kupitia "Terminal". Ikiwa OS yako inategemea Debian, na hii ni Ubuntu, Linux Mint, Kali Linux na kadhalika, unahitaji kuendesha amri hii:
sudo anaweza kufunga tcpdump
Wakati wa kufunga unahitaji kuingia nenosiri. Tafadhali kumbuka kuwa wakati wa kuandika haukuonyeshwa, pia kuthibitisha upasuaji, lazima uingie tabia "D" na waandishi wa habari Ingiza.
Ikiwa una Red Hat, Fedora au CentOS, amri ya ufungaji itaonekana kama hii:
sudo yam kufunga tcpdump
Baada ya ushirika imewekwa, unaweza kutumia mara moja. Hii na mengi zaidi itajadiliwa baadaye katika maandiko.
Angalia pia: Mwongozo wa Ufungashaji wa PHP kwa Ubuntu Server
Syntax
Kama amri nyingine yoyote, tcpdump ina syntax yake mwenyewe. Kumjua, unaweza kuweka vigezo vyote muhimu ambavyo vitazingatiwa wakati wa kutekeleza amri. Syntax ni:
chaguo la tcpdump -faili ya filters
Unapotumia amri, lazima uweze kutaja interface ili kufuatilia. Filters na chaguo si vigezo vya lazima, lakini huruhusu usanidi zaidi kubadilika.
Chaguo
Ingawa si lazima kutaja chaguo, bado ni muhimu kuorodhesha yale inapatikana. Jedwali halionyeshe orodha yao yote, lakini ni maarufu sana, lakini ni zaidi ya kutosha kutatua kazi nyingi.
| Chaguo | Ufafanuzi |
|---|---|
| -A | Inakuwezesha kutengeneza paket katika muundo wa ASCII |
| -l | Inaongeza kazi ya kitabu. |
| -i | Baada ya kuingia unahitaji kutaja interface ya mtandao ambayo itafuatiliwa. Kuanza kufuatilia interfaces zote, weka neno "yoyote" baada ya chaguo. |
| -c | Inakamilisha mchakato wa kufuatilia baada ya kuangalia idadi maalum ya vifurushi. |
| -w | Inazalisha faili ya maandishi na ripoti ya ukaguzi. |
| -e | Inaonyesha kiwango cha uunganisho wa mtandao wa pakiti ya data. |
| -L | Inaonyesha protoksi hizo tu ambazo zinasaidiwa na interface maalum ya mtandao. |
| -C | Inajenga faili nyingine wakati wa kuandika mfuko ikiwa ukubwa wake ni mkubwa zaidi kuliko ilivyoelezwa. |
| -r | Inafungua faili ya kusoma ambayo iliundwa na -w chaguo. |
| -j | Utaratibu wa Muhtasari utatumika kwa kurekodi paket. |
| -J | Inakuwezesha kuona fomu zote zinazopatikana wakati wa TimeStamp |
| -G | Ilitengeneza faili na magogo. Chaguo pia inahitaji thamani ya muda mfupi, baada ya hapo kitengo kipya kitaundwa |
| -v, -vv, -vvv | Kulingana na idadi ya wahusika katika chaguo, pato la amri litaelewa zaidi (ongezeko ni sawa sawa na idadi ya wahusika) |
| -f | Pato inaonyesha jina la uwanja wa anwani ya IP |
| -F | Inakuwezesha kusoma habari sio kwenye interface ya mtandao, lakini kutoka kwa faili maalum |
| -D | Inaonyesha interfaces zote za mtandao ambazo zinaweza kutumika. |
| -n | Inachukua maonyesho ya majina ya kikoa |
| -Z | Inasema mtumiaji ambayo akaunti zote files zitaundwa. |
| -K | Ruka uchambuzi wa hundi |
| -q | Maonyesho ya taarifa fupi |
| -H | Inachunguza vichwa vya 802.11 |
| -I | Imetumiwa wakati wa kukamata pakiti katika hali ya kufuatilia. |
Baada ya kuchunguza chaguo, chini ya sisi tutageuka moja kwa moja kwenye maombi yao. Wakati huo huo, vichujio vitachukuliwa.
Filters
Kama ilivyoelezwa mwanzoni mwa makala hiyo, unaweza kuongeza vichujio kwenye syntax ya tcpdump. Sasa maarufu zaidi kati yao watazingatiwa:
| Futa | Ufafanuzi |
|---|---|
| mwenyeji | Inataja jina la mwenyeji. |
| wavu | Inasema subnet ya IP na mtandao |
| ip | Inataja anwani ya itifaki |
| src | Inaonyesha pakiti ambazo zimetumwa kutoka kwa anwani iliyowekwa |
| dst | Inaonyesha pakiti zilizopokea na anwani maalum. |
| arp, udp, tcp | Kuchuja kwa moja ya protocols |
| bandari | Inaonyesha maelezo kuhusiana na bandari maalum. |
| na, au | Imetumika kuchanganya filters nyingi kwa amri. |
| chini, zaidi | Pakiti za utoaji ndogo au kubwa kuliko ukubwa maalum |
Zote za filters hapo juu zinaweza kuunganishwa na kila mmoja, kwa hivyo katika utoaji amri utazingatia habari tu unayotaka kuona. Ili kuelewa kwa undani zaidi matumizi ya filters hapo juu, ni muhimu kutoa mifano.
Angalia pia: Mara nyingi hutumiwa katika Linux Terminal
Mifano ya matumizi
Chaguzi za syntax za tcpdump mara nyingi zitaorodheshwa. Wote hawawezi kuorodheshwa, kwani tofauti zao zinaweza kupunguzwa.
Tazama orodha ya interface
Inashauriwa kwamba kila mtumiaji awali angalia orodha ya interfaces zake zote za mtandao ambazo zinaweza kufuatiliwa. Kutoka kwenye meza hapo juu tunajua kwamba kwa hili unahitaji kutumia chaguo -D, kwa hiyo katika terminal kukimbia amri ifuatayo:
sudo tcpdump -D
Mfano:
Kama unavyoweza kuona, kuna usaniano nane katika mfano ambao unaweza kutazamwa kwa kutumia amri ya tcpdump. Makala itatoa mifano ya ppp0, unaweza kutumia nyingine yoyote.
Ukamataji wa kawaida wa trafiki
Ikiwa unahitaji kufuatilia interface moja ya mtandao, unaweza kufanya hivyo kwa chaguo -i. Usisahau kuingia jina la interface baada ya kuingia. Hapa ni mfano wa kutekeleza amri hii:
sudo tcpdump -i ppp0
Tafadhali kumbuka: unahitaji kuingia "sudo" kabla ya amri yenyewe, kwani inahitaji haki ya mchungaji.
Mfano:
Kumbuka: baada ya kuingia kwenye "Terminal", pakiti zilizopatiwa zitaonyeshwa kwa kuendelea. Ili kuacha mtiririko wao, unahitaji kushinikiza mchanganyiko muhimu Ctrl + C.
Ikiwa unatumia amri bila chaguzi za ziada na vichujio, utaona muundo uliofuata wa kuonyesha pakiti zilizofuatiliwa:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], seq 1: 595, ack 1118, kushinda 6494, chaguo [nop, nop, TS val 257060077 ecr 697597623], urefu wa 594
Ambapo rangi imeelezwa:
- bluu - wakati wa kupokea mfuko;
- toleo la machungwa - itifaki;
- Anwani ya kijani - mtumaji;
- zambarau - anwani ya mpokeaji;
- kijivu - maelezo ya ziada kuhusu tcp;
- ukubwa wa pakiti nyekundu (iliyoonyeshwa na bytes).
Syntax hii ina uwezo wa pato katika dirisha "Terminal" bila matumizi ya chaguzi za ziada.
Pata trafiki na chaguo--v
Kama inavyojulikana kutoka meza, chaguo -v inakuwezesha kuongeza kiasi cha habari. Hebu fikiria mfano. Angalia interface sawa:
sudo tcpdump -v -i ppp0
Mfano:
Hapa unaweza kuona kwamba mstari uliofuata ulionekana katika pato:
IP (hadi 0x0, ttl 58, id 30675, kukabiliana na 0, bendera [DF], TCP (6) ya proto, urefu wa 52
Ambapo rangi imeelezwa:
- toleo la machungwa - itifaki;
- bluu - maisha ya itifaki;
- kijani - urefu wa kichwa cha shamba;
- toleo la zambarau la mfuko wa tcp;
- ukubwa wa pakiti nyekundu.
Pia katika syntax ya amri unaweza kuandika chaguo -vv au -vvv, ambayo itaongeza zaidi kiasi cha habari zilizoonyeshwa kwenye skrini.
Chaguo -w na -r
Jedwali la chaguzi limeelezea uwezekano wa kuhifadhi data zote za pato katika faili tofauti ili waweze kutazamwa baadaye. Chaguo ni jukumu la hili. -w. Ni rahisi kutumia, tu ingiza katika amri na kisha uingie jina la faili ya baadaye na ugani ".pcap". Fikiria mfano wote:
sudo tcpdump -i ppp0 -w faili.pcap
Mfano:
Tafadhali kumbuka: wakati waandika kumbukumbu kwenye faili, hakuna maandishi yanayoonyeshwa kwenye skrini ya "Terminal".
Unapotaka kuona pato iliyorekodi, unahitaji kutumia chaguo -rikifuatiwa na jina la faili iliyorekodi hapo awali. Inatumiwa bila chaguzi nyingine na vichujio:
sudo tcpdump -r faili.pcap
Mfano:
Chaguzi hizi mbili ni kamili wakati unahitaji kuokoa kiasi kikubwa cha maandishi kwa uchambuzi wa baadaye.
Kuchuja IP
Kutoka meza ya chujio, tunajua hiyo dst inakuwezesha kuonyesha kwenye skrini ya console tu paket hizo zilizokubaliwa na anwani iliyotajwa katika syntax ya amri. Hivyo, ni rahisi sana kuona pakiti zilizopokea na kompyuta yako. Kwa kufanya hivyo, timu inahitaji tu kutaja anwani yako ya IP:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Mfano:
Kama unaweza kuona, badala dst, katika timu, sisi pia tumeandikisha chujio ip. Kwa maneno mengine, tuliiambia kompyuta kwamba wakati wa kuchagua pakiti, angezingatia anwani yao ya IP, na si kwa vigezo vingine.
Kwa IP, unaweza kuchuja na kutuma pakiti. Katika mfano tunatoa IP yetu tena. Hiyo ni, tutafuatilia sasa pakiti ambazo zimetumwa kutoka kompyuta yetu hadi kwenye anwani nyingine. Ili kufanya hivyo, fanya amri ifuatayo:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Mfano:
Kama unaweza kuona, tumebadilisha chujio katika syntax ya amri. dst juu src, na hivyo kumwambia mashine kutafuta mtumaji na IP.
HOST kuchuja
Kwa kulinganisha na IP katika timu, tunaweza kutaja kichujio mwenyejikupalilia pakiti na mwenyeji wa maslahi. Hiyo ni, katika syntax, badala ya anwani ya IP ya mtumaji / mpokeaji, utahitaji kutaja mwenyeji wake. Inaonekana kama hii:
sudo tcpdump -i ppp0 dst mwenyeji google-public-dns-a.google.com
Mfano:
Kwa picha unaweza kuona hiyo "Terminal" Pepesi hizo tu zilizotumwa kutoka kwa IP yetu kwa jeshi la google.com zinaonyeshwa. Kama unaweza kuona, badala ya google host, unaweza kuingia nyingine yoyote.
Kama kwa kufuta IP, syntax ni: dst inaweza kubadilishwa na srcKuona pakiti ambazo zimetumwa kwenye kompyuta yako:
sudo tcpdump -i ppp0 src mwenyeji google-public-dns-a.google.com
Kumbuka: chujio cha jeshi lazima iwe baada ya dst au src, vinginevyo amri itazalisha hitilafu. Katika kesi ya kuchuja IP, kinyume chake, dst na src ni mbele ya filter filter.
Futa na na
Ikiwa unahitaji kutumia filters kadhaa mara moja kwa amri moja, basi unahitaji kutumia chujio. na au au (inategemea kesi). Kwa kufafanua filters katika syntax na kuwatenganisha na waendeshaji hawa, unawafanya iwe kazi moja. Kwa mfano, inaonekana kama hii:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 au ip src 95.47.144.254
Mfano:
Kutoka kwa syntax ya amri unaweza kuona kwamba tunataka kuonyesha "Terminal" pakiti zote zilizotumwa kwa anwani 95.47.144.254 na pakiti zilizopokea na anwani sawa. Unaweza pia kubadili vigezo vingine katika maneno haya. Kwa mfano, badala ya IP, taja HOST au uweke nafasi moja kwa moja anwani.
Futa bandari na uingizaji
Futa bandari kamili kwa wakati unahitaji kupata habari kuhusu pakiti na bandari maalum. Kwa hivyo, ikiwa unahitaji tu kuona majibu au maswali ya DNS, unahitaji kutaja bandari 53:
sudo tcpdump -vv -i ppp0 bandari 53
Mfano:
Ikiwa unataka kuona vifurushi vya http, unahitaji kuingia bandari 80:
sudo tcpdump -vv -i ppp0 bandari 80
Mfano:
Miongoni mwa mambo mengine, inawezekana kufuatilia mara moja aina mbalimbali za bandari. Kwa kufanya hivyo, tumia chujio kuandaa:
sudo tcpdump portrange 50-80
Kama unaweza kuona, kwa kushirikiana na chujio kuandaa Si lazima kutaja chaguzi za ziada. Weka tu aina.
Kuchunguza Itifaki
Unaweza pia kuonyesha tu trafiki ambayo inafanana na itifaki yoyote. Kwa kufanya hivyo, tumia jina la itifaki hii kama kichujio. Hebu tuangalie mfano udp:
sudo tcpdump -vvv -i ppp0 udp
Mfano:
Kama unaweza kuona katika picha, baada ya kutekeleza amri "Terminal" pakiti tu na itifaki zilionyeshwa udp. Kwa hiyo, unaweza kuchuja kwa wengine, kwa mfano, arp:
sudo tcpdump -vvv -i ppp0 arp
au tcp:
sudo tcpdump -vvv -i ppp0 tcp
Futa wavu
Opereta wavu husaidia kuchuja pakiti kwa kuzingatia utaratibu wa mtandao wao. Ni rahisi kutumia kama wengine - unahitaji kutaja sifa katika syntax wavu, kisha ingiza anwani ya mtandao. Hapa ni mfano wa amri kama hiyo:
sudo tcpdump -i ppp0 net 192.168.1.1
Mfano:
Futa kwa ukubwa wa mfuko
Hatujachunguza filters mbili zinazovutia zaidi: chini na zaidi. Kutoka kwenye meza na vichujio, tunajua kwamba hutumikia pato zaidi ya pakiti za data (chini) au chini (zaidi) ukubwa uliowekwa baada ya sifa kuingizwa.
Tuseme tu tunataka kufuatilia pakiti zisizozidi bits 50, basi amri itaonekana kama hii:
sudo tcpdump -i ppp0 chini ya 50
Mfano:
Sasa hebu tuonyeshe "Terminal" pakiti kubwa kuliko bits 50:
sudo tcpdump -i ppp0 zaidi ya 50
Mfano:
Kama unaweza kuona, hutumiwa sawa, tofauti pekee ni kwa jina la chujio.
Hitimisho
Mwishoni mwa makala tunaweza kuhitimisha kuwa timu hiyo tcpdump - Hii ni zana kubwa ambayo unaweza kufuatilia pakiti yoyote ya data iliyotumiwa kwenye mtandao. Lakini kwa hili haitoshi tu kuingia amri yenyewe ndani "Terminal". Ili kufikia matokeo yaliyotakiwa utapatikana tu ikiwa unatumia aina zote za chaguo na filters, pamoja na mchanganyiko wao.
