Lamun perlu nganalisis atawa hirupan pakét jaringan dina Linux Ubuntu, éta pangalusna ngagunakeun ieu utiliti paréntah-garis tcpdump. Tapi masalahna timbul dina rada nyusahkeun manajemén na. Rata pamaké bakal mikir yén digawé jeung utiliti uncomfortable, tapi éta ukur di glance kahiji. Dina artikel ieu anjeun bakal diajar kumaha cara nyusunna nu tcpdump nu rumpaka éta, kumaha cara ngagunakeun éta, sarta ogé bakal sababaraha conto pamakéan na.
Tempo ogé: Pedoman pikeun netepkeun nepi ka sambungan Internet di Ubuntu, Debian, Server Ubuntu
parabot nu geus dipasang di tempatna sarta sadia dipake
Paling pamekar sistem operasi dina Linux Ubuntu kaasup utiliti tcpdump dina daptar pre-dipasang, tapi lamun keur sababaraha alesan teu dina sebaran, anjeun salawasna bisa ngundeur tur masang ngaliwatan "Terminal". Lamun geus OS dumasar Debian, sarta éta Ubuntu, Linux Ubuntu mint, Kali Linux Ubuntu jeung kawas, anjeun perlu ngajalankeun paréntah ieu:
sudo apt install tcpdump
Di instalasi anjeun kudu ngasupkeun sandi anjeun. Perhatikeun yén nalika ngetikkeun eta teu ditampilkeun, sarta pikeun ngonfirmasi kudu asupkeun simbol nu "D" terus pencét asup.
Upami Anjeun gaduh Red Hat, Fedora atanapi CentOS, paréntah pikeun ngeset formulir di handap:
sudo gadung install tcpdump
Sakali utiliti anu dipasang, éta bisa dipaké langsung. Dina ieu sareng loba hal sejenna bakal dibahas salajengna dina téks.
Tempo ogé: Guide Instalasi PHP dina Ubuntu Server
sintaksis
Kawas naon wae tim sejen, tcpdump boga rumpaka sorangan. Nyaho manehna, anjeun tiasa menta sakabeh parameter nu perlu dianggap keur tim. sintaksis nyaéta saperti kieu:
tcpdump pilihan -i saringan panganteur
Lamun anjeun make anjeun pasti bakal perlu nangtukeun panganteur pikeun nyukcruk. Mamah jeung pilihan - éta teu variabel wajib, tapi aranjeunna ngidinan Anjeun pikeun ngalakukeun konfigurasi leuwih fleksibel.
Pilihan
Sanajan pilihan jeung teu merta nunjukkeun daptar sadia ieu masih diperlukeun. Tabel ditémbongkeun henteu sakabéh daptar aranjeunna, tapi ngan nu pang populerna, tapi aranjeunna leuwih ti cukup pikeun ngajawab paling sahiji tugas.
| pilihan | panjelasan |
|---|---|
| -A | Eta ngidinan Anjeun pikeun nyortir nu pakét ka format ASCII |
| -l | Nambahan fungsi ngagulung |
| -i | Sanggeus ngasupkeun anjeun kedah nangtukeun antarbeungeut jaringan anu bakal diawaskeun. Ngamimitian nyukcruk sadayana interfaces, asupkeun pilihan sanggeus kecap "sagala" |
| -c | Ends prosés tracking sanggeus mariksa jumlah dieusian of pakét |
| -w | Dibangkitkeun file téks jeung laporan test |
| -e | Ieu nembongkeun sambungan internét ngeunaan hiji pakét data |
| -L | Mintonkeun ngan maranéhanana protokol nu ngarojong interface jaringan nu dieusian |
| -C | Nyiptakeun file sejen bari ngarekam pakét lamun ukuranana nyaeta gede ti predetermined |
| -r | Ieu ngabuka hiji file pikeun bacaan, anu dijieun kalawan pilihan -w |
| -j | Pikeun pakét catetan bakal dipaké format TimeStamp |
| -J | Eta ngidinan Anjeun pikeun nempo sadaya sadia format TimeStamp |
| -G | Klik pikeun nyieun file kalawan log. pilihan ieu ogé merlukeun nilai waktu satutasna log anyar bakal dijieun |
| -V, -vv, -vvv | Gumantung kana Jumlah karakter dina pilihan, kaluaran sorana bakal jadi leuwih (ngaronjatkeun di Indonesia saimbang langsung ka Jumlah karakter) |
| -f | output nembongkeun nami domain sahiji alamat IP |
| -F | Eta ngidinan Anjeun pikeun maca inpo nu teu ti panganteur jaringan, sarta ti file dieusian |
| -D | Ieu nunjukeun sakabeh interfaces jaringan anu bisa dipaké |
| -n | Deactivates pintonan tina ngaran domain |
| -Z | Hususna nu pamaké handapeun akun anu bakal nyetél sagala file |
| -K | Skipping analisis checksum |
| -q | kasimpulan démo |
| -H | Mangka headline 802.11s |
| -i | Ieu dipake nalika motret pakét dina modeu monitor |
Sanggeus reviewed pilihan di handap, urang neruskeun langsung ka aplikasi maranéhanana. Samentara éta, di saringan bakal dianggap.
saringan
Sakumaha disebutkeun dina awal artikel, Anjeun bisa nambahkeun saringan rumpaka tcpdump. Anu bakal dianggap leuwih pang populerna:
| saringan | panjelasan |
|---|---|
| nu boga imah | Ieu dipaké pikeun nangtukeun hostname nu |
| net | Nangtukeun hiji subnet IP na jaringan |
| ip | Ieu dipaké pikeun nangtukeun alamat protokol |
| src | Eta mintonkeun pakét nya éta dikirim ka alamat dieusian |
| DST | Ieu outputs nu pakét nya éta nampi lokasi dieusian |
| Dukupuntang, udp, TCP | Nyaring nurutkeun salah sahiji protokol |
| palabuhan | Mintonkeun informasi nu patali jeung port husus |
| jeung, atawa | Ieu dipaké pikeun ngagabungkeun sababaraha saringan dina tim anu |
| kirang, gede | Kaluaran pakét anu kurang atawa leuwih gede ti ukuran dieusian |
Sadaya saringan luhur bisa digabungkeun saling, sahingga ngaluarkeun paréntah, anjeun ngan baris niténan inpo aranjeunna hoyong ningali. Ngartos dina leuwih jéntré dina pamakéan di saringan luhur kedah nyadiakeun conto.
Tempo ogé: Paréntah Remen dipaké dina "Terminal" Linux Ubuntu
conto pamakéan
Anu bakal dibéré pilihan remen dipake sintaksis tcpdump. daftar maranéhna iyeu moal jalan mun, sabab variasi maranéhna tiasa sajajalan.
Nempo daptar panganteur
Ieu dianjurkeun unggal pamaké mimitina pariksa daptar sadaya interfaces jaringan na, anu bisa dilacak. Urang terang tina tabel di luhur yén éta perlu migunakeun pilihan -DKu kituna di terminal anu ngajalankeun paréntah di handap:
sudo tcpdump -D
contona:
Sakumaha anjeun tiasa tingali dina conto, aya dalapan interfaces nu bisa ditempo maké tcpdump nu. artikel ieu bakal nyadiakeun conto ppp0Anjeun oge bisa make sagala lianna.
newak lalulintas normal
Lamun hayang lagu a panganteur jaringan tunggal, mangka anjeun bisa ngalakukeun kitu ku ngagunakeun pilihan -i. Ulah poho sanggeus asupna nangtukeun nami panganteur. Di dieu téh palaksanaan sampel paréntah kitu:
sudo tcpdump -i ppp0
Perhatikeun: méméh tim kedah ngasupkeun "sudo", sakumaha merlukeun aksés root.
contona:
Catetan: Saatos mencét Lebetkeun di "Terminal" bakal dipintonkeun pakét terus direbut. Ngeureunkeun aliran maranéhna, Anjeun kudu mencet kombinasi konci Ctrl + C.
Lamun ngajalankeun paréntah tanpa pilihan jeung saringan, anjeun bakal ningali format tampilan handap bungkusan dilacak:
22: 18: 52,597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: umbul [P.], seq 1: 595, ack 1118, meunang 6494, pilihan [nop, nop, TS Val 257 060 077 ecr 697597623], panjangna 594
Dimana warna ieu disadiakeun:
- bulao - waktu anjeun nampi iket;
- jeruk - versi protokol;
- héjo - alamat pangirim;
- wungu - alamat nu dituju;
- abu - informasi ngeunaan TCP;
- beureum - ukuran pakét (dina bait anu ditampilkeun).
rumpaka ieu mibanda kamampuhan pikeun nembongkeun di jandela "Terminal" tanpa pamakéan pilihan tambahan.
Capture lalulintas kalawan pilihan -V
Salaku dipikawanoh ti tabél, pilihan -V Anjeun tiasa ningkatkeun jumlah informasi. Hayu urang mikirkeun conto di handap. Urang pariksa dina panganteur sarua:
sudo tcpdump -V -i ppp0
contona:
Di dieu Anjeun baris aya bewara nu mucunghul garis hareup dina output:
IP (tos 0x0, ttl 58, id 30675, offset 0, umbul [dF], proto TCP (6), panjangna 52
Dimana warna ieu disadiakeun:
- jeruk - versi protokol;
- bulao - durasi protokol tina kahirupan;
- héjo - panjangna tina widang lulugu;
- wungu - TCP Vérsi pakét;
- beureum - ukuranana pakét.
Ogé dina rumpaka paréntah, anjeun tiasa ngadaptar pilihan -vv atawa -vvv, Mana salajengna baris ngaronjatkeun jumlah informasi ditampilkeun dina layar.
Pilihan -w na -r
Pilihan tabel disebutkeun kamungkinan pikeun ngahemat sadaya data nu ditampilkeun ka file misah, supaya engké aranjeunna bisa ditempo. Tanggung jawab pilihan ieu -w. Paké ieu cukup basajan, saukur asupkeun kana tim, sarta tuluy ngetik ngaran file hareup kalayan extension nu ".Pcap". Mertimbangkeun sagala conto di handap:
sudo tcpdump -i ppp0 -w file.pcap
contona:
Catetan: mun ngarekam log ka file dina "Terminal" teu nembongkeun tulisan nanaon.
Lamun anjeun hayang nempo hiji kaluaran dirékam anjeun kudu make pilihan -rSatutasna nulis nami file dirékam saméméhna. Larapkeun eta kalawan euweuh pilihan séjén sarta saringan:
sudo tcpdump -r file.pcap
contona:
Duanana pilihan ieu idéal dina situasi nalika anjeun kedah nyimpen jumlahna ageung téks pikeun analisis engké.
Nyaring ku IP
Ti méja filter, urang terang yen DST Eta ngidinan Anjeun pikeun mintonkeun layar konsol ngan maranéhanana pakét nya éta narima alamat nu geus dieusian dina rumpaka paréntah. Ku kituna éta pohara merenah pikeun ningali pakét ditampi ku komputer. Jang ngalampahkeun ieu, tim hijina kedah asupkeun IP-alamat anjeun:
sudo tcpdump -i ppp0 ip DST 10.0.6.67
contona:
Salaku bisa ningali, sajaba DSTDina tim, kami geus didaptarkeun sakumaha filter a ip. Dina basa sejen, kami ngawartoskeun komputer pikeun seleksi bungkusan, anjeunna Drew perhatian ka alamat IP maranéhanana, tinimbang pilihan séjén.
jeung pakét kaluar bisa disaring dumasar kana IP. Dina conto urang masihan deui IP urang. Maksudna, urang ayeuna ngalacak mana pakét dikirim tina komputer urang ka alamat lianna. Jang ngalampahkeun ieu, ngajalankeun paréntah di handap:
sudo tcpdump -i ppp0 ip src 10.0.6.67
contona:
Salaku bisa ningali, éta rumpaka paréntah, urang geus robah filter nu DST on srcKukituna sangkan mesin yén Aisyah ieu pilari kanggo ngirim leuwih IP.
Nyaring dina HOST
Ku analogi jeung tim IP, urang bisa nangtukeun filter a nu boga imahPikeun nalungtik kaluar pakét dipikaresep ku nu boga imah. Hartina, dina rumpaka gaganti IP-alamat nu ngirim / panarima baris perlu nangtukeun host na. Sigana kieu:
sudo tcpdump -i DST host ppp0 google-public-dns-a.google.com
contona:
Dina gambar di anjeun tiasa ningali yen di "Terminal" mintonkeun mung pakét nya éta dikirimkeun ku IP kami ka google.com host. Salaku bisa ngaapresiasi, tinimbang tina host google, Anjeun bisa ngasupkeun wae lianna.
Saperti dina kasus kalayan nyaring ku IP, sintaksis DST bisa diganti ku srcPikeun ningali pakét nu dikirim ka komputer:
sudo tcpdump -i ppp0 src imah google-public-dns-a.google.com
Catetan: filter host kedah nangtung sanggeus DST atanapi src, atawa paréntah bakal balik kasalahan. Dina kasus nyaring ku IP, dina sabalikna, DST na src anu nyanghareup filter ip.
Nerapkeun filter sarta atanapi na
Lamun boga kedah ngagunakeun sababaraha saringan dina tim anu sarua, éta perlu nerapkeun filter nu jeung atawa atawa (Gumantung kana hal éta). Ngarah rumpaka filter sarta misahkeun aranjeunna ku operator ieu, anjeun "maksakeun" aranjeunna digawekeun salaku salah. Dina conto ieu nyaéta saperti kieu:
sudo tcpdump -i ppp0 ip DST 95.47.144.254 atanapi ip src 95.47.144.254
contona:
Ti rumpaka paréntah eta jelas yen urang hoyong nembongkeun "Terminal" kabéh pakét anu geus dikirim ka alamat tina 95.47.144.254 jeung pakét ditampi ku lokasi nu sami ieu. Anjeun oge bisa ngarobah sababaraha variabel dina ekspresi ieu. Contona, tinimbang host IP nangtukeun atawa ngaganti diri langsung alamat.
port filter sarta portrange
saringan palabuhan sampurna dina eta kasus mun anjeun kudu meunang informasi ngeunaan bungkusan ku port husus. Ku kituna, upami anjeun hoyong ningali mung waleran, atawa queries DNS, Anjeun kudu nangtukeun nu port 53:
sudo tcpdump -vv -i ppp0 port 53
contona:
Lamun hayang ningali deui pakét http, anjeun kudu ngasupkeun port 80:
sudo tcpdump -vv -i ppp0 port 80
contona:
Diantara hal séjén, kasebut nyaéta dimungkinkeun pikeun lagu sauntuyan palabuhan sakaligus. Pikeun tujuan ieu filter nu portrange:
sudo tcpdump portrange 50-80
Salaku bisa ditempo, ditéang jeung filter nu portrange teu kedah nangtukeun pilihan tambahan. Hiji hijina kudu nangtukeun rentang hiji.
Nyaring ku protokol
Anjeun oge bisa nembongkeun mung lalulintas nu cocog protokol sagala. Jang ngalampahkeun ieu, make salaku ngaran filter tina protokol sorangan. Hayu urang nganggap conto udp:
sudo tcpdump -vvv -i ppp0 udp
contona:
Salaku bisa ditempo dina gambar, saurna tim "Terminal" ngan mintonkeun pakét sareng protokol udp. Sasuai, anjeun tiasa ngalakonan nyaring na sejen, contona, Dukupuntang:
sudo tcpdump -vvv -i ppp0 Dukupuntang
atawa TCP:
sudo tcpdump -vvv -i TCP ppp0
filter net
petugas net Eta mantuan pikeun nyaring pakét, nyandak salaku dadasar pikeun designation sahiji jaringan maranéhanana. Paké eta sakumaha gampangna sésana - anjeun kedah nangtukeun éta rumpaka atribut netTerus asupkeun alamat jaringan. Di handap ieu conto tina paréntah kitu:
sudo tcpdump -i ppp0 192.168.1.1 net
contona:
Nyaring dina ukuran packet
Simkuring teu nalungtik dua filter leuwih narik: leuwih saeutik jeung gede. Ti tabel kalawan tapis, urang terang yen aranjeunna dipaké pikeun pakét kaluaran data leuwih (leuwih saeutik) Atawa kirang (gede) Ukuran dieusian sanggeus atribut input.
Hayu urang nyebutkeun urang rék nuturkeun mung pakét anu teu ngaleuwihan tanda tina 50 bit, teras sorana bakal kieu:
sudo tcpdump -i ppp0 kirang 50
contona:
Ayeuna hayu urang jadi ditingal dina "Terminal" pakét anu leuwih badag batan 50 bit:
sudo tcpdump -i ppp0 gede 50
contona:
Salaku bisa ningali, aranjeunna nerapkeun sarua, hijina bédana dina nami filter.
kacindekan
Dina ahir artikel eta bisa disimpulkan yén tim tcpdump - ieu alat hébat nu ngidinan Anjeun pikeun lagu naon pakét data dikirimkeun ngaliwatan internét. Tapi teu cukup nepi ka ngan asupkeun paréntah sorangan pikeun tujuan ieu di "Terminal". Ngahontal hasil nu dipikahoyong geus ditangtukeun ngan bisi nu lamun make sagala sorts pilihan jeung saringan, kitu ogé kombinasi tujuanana.
