Како ухватити мрежни саобраћај у Линуку помоћу тцпдумп-а

Линук долази опремљен мноштвом мрежних услужних програма које можете изабрати. тцпдумп је један тако моћан алат за умрежавање који може да ухвати и анализира мрежни саобраћај ако вам затреба да отклоните грешке на мрежи на Линук-у.

Хајде да се позабавимо командом тцпдумп и истражимо како да је користимо за снимање мрежног саобраћаја.

Инсталирање тцпдумп у Линук-у

тцпдумп обично долази са унапред инсталираним све главне Линук дистрибуције и алтернативе засноване на безбедности. Дакле, требало би да будете у могућности да га користите одмах тако што ћете укуцати тцпдумп са судо префикс.

У случају да не можете да покренете команду тцпдумп и да сте заглављени на „тцпдумп: команда није пронађена" грешка, хајде да научимо како да инсталирамо тцпдумп на вашу Линук машину.

Да бисте инсталирали тцпдумп, покрените терминал и покрените команду која одговара Линук дистрибуцији коју тренутно користите:

На Дебиан/Убунту дериватима покрените:

судо апт-добити инсталирајте тцпдумп

на Арцх-басед системи, трцати:

судо пацман -С тцпдумп

Да бисте инсталирали услужни програм тцпдумп на Федора, ЦентОС и РХЕЛ, издајте следећу команду:

судо днф инсталирај тцпдумп

Имајте на уму да ако се од вас затражи да инсталирате либцап, Укуцај да или И пошто је то основна зависност, без које ће тцпдумп одбити да се покрене. Ово би требало да инсталира услужни програм тцпдумп и реши грешку „команда није пронађена“.

Сада када је тцпдумп инсталиран на вашем систему, хајде да истражимо различите опције и функционалности које нуди.

Снимање мрежног саобраћаја помоћу тцпдумп

тцпдумп нуди много заставица за модификацију његовог извршавања, али се може покренути и као самостална команда. Међутим, покретање тцпдумп без икаквих заставица или аргумената би занемарило његов пуни потенцијал. Увек је боље користити неколико заставица за подешавање извршења и излаза по потреби.

Унесите ову команду да надгледате мрежне преносе помоћу тцпдумп:

судо тцпдумп

Сада ће тцпдумп почети да аутоматски хвата мрежне пакете до сигнал прекида се шаље са Цтрл + З да ручно прекине процес. Да бисте ограничили укупан број ухваћених пакета, користите -ц означите и унесите жељено ограничење пакета поред њега:

судо тцпдумп -ц 5

Ако тренутно не можете да схватите резултат, морате упознајте се са тцпдумп излазним форматом први.

Проверите доступне мрежне интерфејсе помоћу тцпдумп

Подразумевано, тцпдумп хвата саобраћај са било ког од доступних мрежних интерфејса. Ако имате више активних мрежних интерфејса у употреби, можда бисте желели да дефинишете мрежни интерфејс са којег тцпдумп треба да хвата пакете. Да бисте покренули тцпдумп на одређеном интерфејсу, прво ћете морати да сазнате више о називу интерфејса.

Ево како да наведете све доступне мрежне интерфејсе са тцпдумп:

судо тцпдумп -Д

Или, можете додати --лист-интерфацес означите команду:

судо тцпдумп --листа-интерфејси

Враћени излаз садржи листу свих активних мрежних интерфејса које тцпдумп може да слуша. Да бисте конфигурисали тцпдумп за снимање преноса са одређеног мрежног интерфејса, откуцајте ову команду:

судо тцпдумп -и интерфејс_ид

Или, можете додати --интерфејс означите команду:

судо тцпдумп --интерфејсинтерфејс_ид

Сада када смо ухватили неколико пакета, хајде да их пажљиво проучимо и научимо како можете да подесите излаз да буде читљивији.

Истраживање тцпдумп филтера

тцпдумп је способан да ухвати огромну количину саобраћаја у једном покретању. Такво преоптерећење информацијама може да вас избаци са пута када истражујете или решавате проблеме са одређеним хостом или мрежним протоколом.

Ево где тцпдумп филтери долазе у игру. Можете додати команду тцпдумп са одређеним ознакама да бисте филтрирали мрежни саобраћај и ухватили одређене пакете. Затим можете да складиштите те пакете и касније их анализирате да бисте дошли до корена проблема у вези са мрежом. Хајде да научимо како да користимо филтере у тцпдумп-у.

Филтрирајте пакете на основу мрежног протокола који се користи

Да бисте филтрирали пакете који се преносе преко одређеног протокола, унесите име протокола помоћу команде тцпдумп и она ће ухватити само пакете који путују преко дефинисаног мрежног протокола.

На пример, да бисте ухватили пакете засноване на ИЦМП-у, једноставно бисте их приложили ицмп на крају команде тцпдумп. Процес је исти ако желите да ухватите само УДП или ТЦП пакете.

судо тцпдумп -ц 5 ицмп

Ова команда ће вратити излаз само ако постоји размена података преко ИЦМП протокола.

Филтрирајте пакете на основу хоста

Можете да конфигуришете тцпдумп да хвата пакете који се односе на један хост са домаћин параметар. Ово је посебно корисно када сви системи ваше мреже функционишу осим једног. Овај филтер вам омогућава да извршите циљану истрагу и убрзава укупан ток решавања проблема јер вас не ометају непотребни подаци.

Да бисте ухватили пакете који се односе на одређени хост, дефинишите мрежну адресу хоста помоћу домаћин параметар:

судотцпдумп-ц 5 домаћин 192.168.2.1

Слично филтеру мрежног протокола, ова команда ће вратити излаз само ако је било који пренос у току повезан са дефинисаним хостом.

Филтрирајте пакете на основу активног порта

тцпдумп је опремљен параметром који вам омогућава да филтрирате мрежни саобраћај и ухватите само пакете који се преносе на или са одређеног порта.

Да бисте ухватили пакете који долазе са одређеног порта, додајте Лука означите команду тцпдумп и дефинишите број порта поред ње. На пример, да бисте ухватили било који долазни или одлазни ХТТП саобраћај, дефинишите порт 80:

судо тцпдумп -ц 5 порт 80

тцпдумп ће слушати на порту 80, чекајући ХТТП преносе. Када детектује ХТТП пакете у мрежи, ухватиће их.

Комбинујте филтере заједно за напредно сортирање

У претходним одељцима се говорило о томе како можете да филтрирате саобраћај на основу порта, протокола или хоста, али шта ако желели сте да ухватите саобраћај са једног порта одређеног хоста користећи одређену мрежу протокол? Па, имате среће јер је то могуће, што се приписује могућности коришћења логичких оператора са командом тцпдумп.

Да бисте ухватили пакете са појединачног хоста користећи порт 443, користите ову команду:

судотцпдумп-ц 5 домаћин 192.168.2.1иЛука 443

Прегледајте садржај ухваћених пакета

Подразумевано, тцпдумп приказује заглавља пакета у излазу. Иако је то више него довољно у већини случајева, понекад ћете можда желети или требати да погледате дубље у снимљене податке. Можете проследити одређене параметре помоћу команде тцпдумп да бисте прегледали садржај снимљеног пакета.

Ево како да видите садржај пакета:

судо тцпдумп -ц 5 -к

Ова команда враћа хексадецималну верзију садржаја у снимљеном пакету. Ако желите да видите АСЦИИ облик података, можете проследити -А параметар са:

судо тцпдумп -А

Сачувајте тцпдумп излаз у датотеку

Као и скоро сваки други Линук алат за командну линију, можете да сачувате излаз који је произвео тцпдумп у датотеку на коју ће се касније референцирати.

Ово се може урадити додавањем -в заставицу команди. Након извршења, тцпдумп ће сачувати снимљене податке у а .пцап датотеку која се касније може анализирати помоћу тцпдумп-а или других алата за праћење мреже као што је Виресхарк.

Унесите ову команду да бисте сачували излаз ваше тцпдумп команде у датотеку:

судотцпдумп-вухватити.пцап

За читање а .пцап датотеку, можете користити тцпдумп са -р параметар:

судотцпдумп-рухватити.пцап

Линук се испоручује са мноштвом мрежних алата који могу да реше сваки мрежни проблем све док се ради о софтверској страни ствари. Знати како да користите неколико најбољих алата за умрежавање у Линук-у ће вам свакако бити од користи, било да сте администратор система који управља мрежама за живот или само свакодневни корисник Линук-а.

Пошто стварна листа доступних мрежних команди може бити превише за схватити, ево листе неких од најважнијих Линук мрежних алата које бисте требали знати.