Да ли покушавате да снимите пакете података како бисте анализирали саобраћај на вашој мрежи? Можда сте администратор сервера који је набасао на проблем и жели да надгледа пренесене податке на мрежи. Каква год била ситуација, услужни програм тцпдумп Линук је оно што вам треба.

У овом чланку ћемо детаљно размотрити команду тцпдумп, заједно са неким водичима о томе како инсталирати и користити тцпдумп на вашем Линук систему.

Шта је наредба тцпдумп?

Тцпдумп је моћан алат за надгледање мреже који омогућава кориснику ефикасно филтрирање пакета и промета на мрежи. Можете добити детаљне информације у вези са ТЦП / ИП и пакетима који се преносе на вашој мрежи. Тцпдумп је услужни програм за командну линију, што значи да га можете покренути на Линук серверима без екрана.

Системски администратори такође могу да интегришу услужни програм тцпдумп са црон како би се аутоматизовали разни задаци попут евидентирања. С обзиром на то да га бројне функције чине прилично свестраним, тцпдумп ради и као решавање проблема и као сигурносни алат.

Како инсталирати тцпдумп на Линук

Иако ћете већину времена наћи тцпдумп унапред инсталиран на вашем систему, неке Линук дистрибуције се не испоручују са пакетом. Због тога ћете можда морати ручно да инсталирате услужни програм на свој систем.

Можете да проверите да ли је тцпдумп инсталиран на вашем систему помоћу која команда. 

који тцпдумп

Ако излаз приказује путању до директоријума (/usr/bin/tcpdump), тада је на вашем систему инсталиран пакет. Међутим, ако не, то можете лако учинити користећи задати менаџер пакета на вашем систему.

Да бисте инсталирали тцпдумп на дистрибуције засноване на Дебиану, као што је Убунту: 

судо апт-гет инсталирајте тцпдумп

Инсталирање тцпдумп-а на ЦентОС је такође лако. 

судо иум инсталирај тцпдумп

О дистрибуцијама заснованим на Арцх-у: 

судо пацман -С тцпдумп

Да бисте инсталирали на Федори: 

судо днф инсталирај тцпдумп

Имајте на уму да пакет тцпдумп захтева либцап као зависност, па га обавезно инсталирајте и на свој систем.

Тцпдумп примери за хватање мрежних пакета на Линуку

Сада када сте успешно инсталирали тцпдумп на ваш Линук рачунар, време је да надгледате неке пакете. Будући да тцпдумп захтева извршење суперкорисника за извршавање већине операција, мораћете да додате судо на ваше команде.

1. Наведите све мрежне интерфејсе

Да бисте проверили који су мрежни интерфејси доступни за снимање, користите заставицу са наредбом тцпдумп. 

тцпдумп -Д

Пролазећи поред --лист-интерфејси заставица као аргумент вратиће исти излаз. 

тцпдумп --лист-интерфејси

Резултат ће бити листа свих мрежних интерфејса присутних на вашем систему.

Након добијања листе мрежних интерфејса, време је да надгледате своју мрежу хватањем пакета на вашем систему. Иако можете да одредите који интерфејс желите да користите, било који аргумент наредбе тцпдумп за хватање мрежних пакета помоћу било ког активног интерфејса. 

тцпдумп --интерфаце било који

Систем ће приказати следећи излаз.

Повезан: Шта је модел интерконекције отворених система?

2. Излазни формат тцпдумп

Полазећи од трећег реда, сваки ред излаза означава одређени пакет који је ухватио тцпдумп. Ево како изгледа излаз једног пакета. 

17: 00: 25.369138 влп0с20ф3 Оут ИП лоцалистем.40310> кул01с10-ин-ф46.1е100.нет.хттпс: Флагс [П.], сек 196: 568, ацк 1, вин 309, оптионс [ноп, ноп, ТС вал 117964079 ецр 816509256], дужина 33

Имајте на уму да нису сви пакети заробљени на овај начин, али ово је општи формат који већина њих прати.

Излаз садржи следеће информације.

  1. Временска ознака примљеног пакета
  2. Назив интерфејса
  3. Ток пакета
  4. Назив мрежног протокола
  5. Детаљи ИП адресе и порта
  6. ТЦП заставе
  7. Редни број података у пакету
  8. Ацк дата
  9. Величина прозора
  10. Дужина пакета

Прво поље (17:00:25.369138) приказује временску ознаку када је ваш систем послао или примио пакет. Снимљено време се издваја из локалног времена вашег система.

Друго и треће поље означавају интерфејс који се користи и проток пакета. У горњем исечку, влп0с20ф3 је назив бежичног интерфејса и Напоље је проток пакета.

Четврто поље укључује информације повезане са именом мрежног протокола. Генерално, наћи ћете два протокола - ИП и ИП6, где ИП означава ИПВ4, а ИП6 је за ИПВ6.

Следеће поље садржи ИП адресе или име изворног и одредишног система. ИП адресе прате број порта.

Шесто поље у излазу састоји се од ТЦП заставица. Постоје разне заставице које се користе у излазу тцпдумп.

Назив заставе Вредност Опис
СИН С. Веза је започета
ФИН Ф Веза је завршена
ПУСХ П. Подаци се потискују
РСТ Р. Веза је ресетована
АЦК . Признање

Излаз такође може садржати комбинацију неколико ТЦП заставица. На пример, ЗАСТАВА [ф.] означава ФИН-АЦК пакет.

Крећући се даље у излазном исечку, следеће поље садржи редни број (даље 196: 568) података у пакету. Први пакет увек има позитивну целобројну вредност, а следећи пакети користе релативни секвенцијски број за побољшање протока података.

Следеће поље садржи број потврде (ацк 1), или једноставни Ацк број. Пакет ухваћен у пошиљаочевој машини има број потврде 1. На крају пријемника, број Ацк је вредност следећег пакета.

Девето поље на излазу одговара величини прозора (победити 309), што је број бајтова доступан у ме успремнику. Постоји неколико других поља која прате величину прозора, укључујући максималну величину сегмента (МСС).

Последње поље (дужине 33) садржи дужину целокупног пакета који је ухватио тцпдумп.

3. Ограничите број заробљених пакета

Док први пут покрећете команду тцпдумп, могли бисте приметити да систем наставља са хватањем мрежних пакета док не прођете сигнал прекида. Можете да замените ово подразумевано понашање тако што ћете претходно навести број пакета које желите да снимите помоћу застава. 

тцпдумп --интерфаце било који -ц 10

Поменута команда ће ухватити десет пакета из било ког активног мрежног интерфејса.

4. Филтрирајте пакете на основу поља

Када решавате проблем, добијање великог блока излаза текста на вашем терминалу то не олакшава. Ту долази до изражаја функција филтрирања у тцпдумп. Пакете можете да филтрирате према различитим пољима, укључујући хоста, протокол, број порта и још много тога.

Да бисте ухватили само ТЦП пакете, откуцајте: 

тцпдумп - интерфејс било који -ц 5 тцп

Слично томе, ако желите да филтрирате излаз помоћу броја порта: 

тцпдумп - интерфејс било који -ц 5 порт 50

Горе наведена команда ће дохватити само пакете који се преносе кроз наведени порт.

Да бисте добили детаље о пакету за одређени хост: 

тцпдумп --интерфаце било који -ц 5 хост 112.123.13.145

Ако желите да филтрирате пакете које је послао или примио одређени домаћин, користите срц или дст аргумент са наредбом. 

тцпдумп --интерфаце било који -ц 5 срц 112.123.13.145
тцпдумп --интерфаце било који -ц 5 дст 112.123.13.145

Такође можете користити логичке операторе и и или да комбинују два или више израза заједно. На пример, да бисте добили пакете који припадају изворној ИП адреси 112.123.13.145 и користите луку 80: 

тцпдумп --интерфаце било који -ц 10 срц 112.123.13.145 и порт 80

Сложени изрази се могу груписати помоћу заграде као што следи: 

тцпдумп --интерфаце било који -ц 10 "(срц 112.123.13.145 или срц 234.231.23.234) и (порт 45 или порт 80)"

5. Погледајте садржај пакета

Можете користити и -Икс заставице са наредбом тцпдумп за анализу садржаја мрежног пакета. Тхе  застава означава АСЦИИ формат и -Икс Означава хексадецимални формат.

Да бисте прегледали садржај следећег мрежног пакета који је систем заузео: 

тцпдумп --интерфаце било који -ц 1 -А
тцпдумп --интерфаце било који -ц 1 -к

Повезан: Шта је губитак пакета и како отклонити његов узрок?

6. Сачувајте податке снимања у датотеку

Ако желите да сачувате податке о хватању у референтне сврхе, тцпдумп је ту да вам помогне. Само прођи заставицу са подразумеваном наредбом за писање излаза у датотеку уместо приказивања на екрану. 

тцпдумп - интерфејс са било којим -ц 10 -в дата.пцап

Тхе .пцап екстензија датотеке означава хватање пакета подаци. Такође можете издати поменуту команду у опсежном режиму помоћу застава. 

тцпдумп --интерфаце било који -ц 10 -в дата.пцап -в

Да бисте прочитали а .пцап датотеку помоћу тцпдумп, користите заставица праћена путањом датотеке. Тхе означава читати. 

тцпдумп -р дата.пцап

Такође можете филтрирати мрежне пакете из пакетних података сачуваних у датотеци. 

тцпдумп -р дата.пцап порт 80

Надгледање мрежног саобраћаја на Линуку

Ако вам је додељен задатак администрирања Линук сервера, тада је наредба тцпдумп одличан алат за уврштавање у ваш арсенал. Проблеме повезане са мрежом можете лако решити хватањем пакета који се преносе на вашој мрежи у реалном времену.

Али пре свега тога, ваш уређај мора бити повезан на Интернет. За почетнике Линука чак и повезивање са Ви-Фи мрежом преко командне линије може бити мало изазовно. Али ако користите праве алате, то је брзо.

Емаил
Како се повезати на Ви-Фи преко Линук терминала помоћу Нмцли

Желите ли да се повежете на Ви-Фи мрежу путем Линук командне линије? Ево шта треба да знате о наредби нмцли.

Прочитајте следеће

Повезане теме
  • Линук
  • Сигурност
  • Мрежна форензика
О аутору
Деепесх Схарма (Објављено 37 чланака)

Деепесх је млађи уредник за Линук у МУО. На Интернету пише информативни садржај више од 3 године. У слободно време ужива у писању, слушању музике и свирању гитаре.

Још од Деепесх Схарме

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, прегледе, бесплатне е-књиге и ексклузивне понуде!

Још један корак…!

Молимо потврдите своју адресу е-поште у е-поруци коју смо вам управо послали.

.