8 eksempler på brug af tcpdump

Linux
Author Reading 5 min Views 3 Published by

Tcpdump er et af de mest populære tekstbaserede netværksovervågningsværktøjer i Linux. Værktøjet bruges specielt til at filtrere TCP/IP-pakker over et netværk. Du kan bruge dette værktøj til at filtrere de overførte og modtagne TCP/IP-pakker over et netværk for en bestemt netværksgrænseflade. Tcpdmp er et tekstbaseret pakkeanalyseværktøj som alternativ til Wiresark.

På grund af dets popularitet har næsten alle Linux-distroer inkluderet Tcpcump i deres repository-pakke, men det er måske ikke installeret som standard. Bare rolig, det er nemt at installere Tcpdump i dit system. Debian-baserede distro-brugere kan installere værktøjet ved hjælp af apt -værktøjet, mens Fedora-baserede distro-brugere kan bruge yum til at installere Tcpdump. Før du går i gang med at analysere pakker ved hjælp af Tcpdump, skal du have root-rettigheder.

En af fordelene ved at bruge Tcpdump er, at du kan gemme de opfangede pakker i en fil til en avanceret analyse.

Som nogle siger, at nysgerrighed er nøglen til at blive en klog person som Bill Gates. Du kan læse den manuelle side af Tcpdump ved at skrive man tcpdump i terminalen for at få mere detaljerede oplysninger om værktøjet.

Denne artikel vil vise dig de 8 bedste eksempler på brug af Tcpdump.

Contents
  1. Installer Tcpdump
  2. 1. Vis tilgængelige netværksinterfaces i systemet
  3. 2. Optag pakker fra specifik grænseflade
  4. 3. Udskriv de opfangede pakker i ASCII
  5. 4. Optag kun N antal pakker
  6. 5. Optag og gem pakker i en fil
  7. 6. Læs fil med opfangede pakker
  8. 7. Capture packet from specific port
  9. 8. Optag kun TCP-pakker
  10. YouTube video: 8 Eksempler på brug af Tcpdump

Installer Tcpdump

Hvor du kan bruge værktøjet, skal du naturligvis først installere det i dit system. Som tidligere nævnt kan Fedora (og andre Red Hat-baserede distroer) bruge yum til at installere Tcpdump, mens Debian-baserede distro-brugere kan bruge apt .

#yum install tcpdump #apt-get install tcpdump

1. Vis tilgængelige netværksinterfaces i systemet

Den vigtige ting, du skal vide, før du opfanger TCP/IP-pakker ved hjælp af Tcpdump, er at forstå de tilgængelige netværksinterfaces i dit system. I modsætning til andre muligheder behøver du ikke at være root for at gøre dette. Du kan bruge -D-indstillingen til at få vist listen over tilgængelige grænseflader i dit Linux-system.

$tcpdump -D

2. Optag pakker fra specifik grænseflade

Når du har fået oplysninger om de tilgængelige netværksgrænseflader i dit system, kan du begynde at analysere TCP/IP-trafikken for en specifik grænseflade ved hjælp af indstillingen -i. Denne indstilling kræver root-rettigheder.

#tcpdump -i wlp2s0

3. Udskriv de opfangede pakker i ASCII

ASCII er en populær tegnkodningsstandard, som anvendes af de fleste moderne tegnkodningsordninger. Du kan også vise output af opfangede pakker ved hjælp af -A-indstillingen.

#tcpdump -A -i wlp2s0

4. Optag kun N antal pakker

Hvis du opfanger TCP/IP-pakker fra en bestemt grænseflade ved hjælp af Tcpdump, vil den normalt køre kontinuerligt, indtil du trykker på CTRL+C-knappen for at stoppe processen. Hvis du kun ønsker at opsamle et bestemt antal pakker, skal du bruge indstillingen -c.

#tcpdump -c 10 -i wlp2s0

5. Optag og gem pakker i en fil

Dette er den mest interessante funktion i Tcpdump, som netværksadministratorer vil elske at. Værktøjet giver dig en mulighed for at gemme de opfangede pakker i en fil til avanceret analyse, når der sker noget dårligt i dit netværk. Filen vil blive gemt i et pcap-format og kan ses ved hjælp af selve Tcpdump eller andre pakkeanalyseværktøjer, herunder Wireshark. Den opfangede fil vil blive gemt i den aktuelle mappe, hvor du kører Tcpdump.

#tcpdump -w 0001.pcap -i wlp2s0

6. Læs fil med opfangede pakker

Som opfølgning på eksempel 5 ovenfor kan du læse den opfangede fil ved hjælp af -r-indstillingen. Du skal blot sørge for at køre denne indstilling i den samme mappe, hvor du kan køre -w-indstillingen ovenfor.

#tcpdump -r 0001.pcap

7. Capture packet from specific port

Der er så mange porte i begrebet internet. Scanning af alle porte kan gøre dine opfangningsresultater for overfyldte. For at indsnævre resultaterne og lette dit arbejde kan du kun fange specifikke porte. Du kan f.eks. ønske at filtrere resultaterne for kun port 80. I internetkonceptet er port 80 kendt som HTTP-porten.

#tcpdump -i wlp2s0 port 80

8. Optag kun TCP-pakker

Du kan også filtrere resultaterne, så de kun viser TCP-pakker. Brug et tcp-suffiks til at gøre det.

#tcpdump -n -i wlp2s0 tcp

YouTube video: 8 Eksempler på brug af Tcpdump

Rate article
© 2023 Nørdernes net
This website uses cookies to improve user experience. By continuing to use the site, you consent to the use of cookies.