8 esimerkkejä tcpdumpin käytöstä

Linux
Lukee 4 min Katselukerrat 2 Julkaisija

Tcpdump on yksi Linuxin suosituimmista tekstipohjaisista verkonvalvontatyökaluista. Työkalua käytetään erityisesti TCP/IP-pakettien suodattamiseen verkossa. Tämän työkalun avulla voit suodattaa tietyn verkkoliitännän verkon yli siirrettyjä ja vastaanotettuja TCP/IP-paketteja. Tcpdmp on tekstipohjainen pakettianalysaattorityökalun vaihtoehto Wiresarkille.

Suosionsa vuoksi lähes kaikki Linux-jakelupaketit ovat sisällyttäneet Tcpcumpin arkistopakettiinsa, mutta sitä ei välttämättä asenneta oletusarvoisesti. Älä huoli, Tcpdumpin asentaminen järjestelmääsi on helppoa. Debian-pohjaisten distrojen käyttäjät voivat asentaa työkalun käyttämällä apt -työkalua, kun taas Fedora-pohjaisten distrojen käyttäjät voivat asentaa Tcpdumpin yum -työkalulla. Ennen kuin aloitat pakettien analysoinnin Tcpdumpin avulla, sinulla on oltava pääkäyttäjän oikeudet.

Yksi Tcpdumpin käytön eduista on se, että voit tallentaa kaapatut paketit tiedostoon tarkempaa analyysia varten.

Jotkut ihmiset sanovat, että uteliaisuus on avain Bill Gatesin kaltaisen älykkään ihmisen tulemiseen. Voit lukea Tcpdumpin manuaalisivun kirjoittamalla man tcpdump terminaaliin saadaksesi yksityiskohtaisempia tietoja työkalusta.

Tämä artikkeli näyttää sinulle 8 tärkeintä esimerkkiä Tcpdumpin käytöstä.

Sisällöt
  1. Asenna Tcpdump
  2. 1. Järjestelmässä käytettävissä olevien verkkoliitäntöjen näyttäminen
  3. 2. Pakettien kaappaus tietystä rajapinnasta
  4. 3. Tulosta kaapatut paketit ASCII-muodossa
  5. 4. Kaappaa vain N määrä paketteja
  6. 5. Pakettien kaappaus ja tallentaminen tiedostoon
  7. 6. Kaapattujen pakettien tiedoston lukeminen
  8. 7. Sieppaa paketti tietystä portista
  9. 8. Sieppaa vain TCP-paketit
  10. YouTube video: 8 Esimerkkejä Tcpdumpin käytöstä

Asenna Tcpdump

Ennen kuin pystyt käyttämään työkalua, sinun täytyy tietysti ensin asentaa se järjestelmääsi. Kuten aiemmin mainittiin, Fedora (ja muut Red Hat-pohjaiset distrot) voivat käyttää yum :a Tcpdumpin asentamiseen, kun taas Debian-pohjaisten distrojen käyttäjät voivat käyttää apt :a.

#yum install tcpdump #apt-get install tcpdump

1. Järjestelmässä käytettävissä olevien verkkoliitäntöjen näyttäminen

Tärkeä asia, joka sinun on tiedettävä ennen TCP/IP-pakettien kaappaamista Tcpdumpilla, on järjestelmän käytettävissä olevien verkkoliitäntöjen ymmärtäminen. Toisin kuin muissa vaihtoehdoissa, sinun ei tarvitse olla pääkäyttäjä tätä varten. Voit käyttää -D-vaihtoehtoa näyttääksesi luettelon Linux-järjestelmäsi käytettävissä olevista rajapinnoista.

$tcpdump -D

2. Pakettien kaappaus tietystä rajapinnasta

Kun olet saanut tiedot järjestelmässäsi käytettävissä olevista verkkoliitännöistä, voit alkaa analysoida tietyn rajapinnan TCP/IP-liikennettä -i-vaihtoehdon avulla. Tämä optio vaatii pääkäyttäjän oikeudet.

#tcpdump -i wlp2s0

3. Tulosta kaapatut paketit ASCII-muodossa

ASCII on suosittu merkkien koodausstandardi, jota useimmat nykyaikaiset merkkien koodausjärjestelmät käyttävät. Voit myös näyttää kaapattujen pakettien tulosteen käyttämällä -A-vaihtoehtoa.

#tcpdump -A -i wlp2s0

4. Kaappaa vain N määrä paketteja

Jos kaappaat tietyn rajapinnan TCP/IP-paketteja Tcpdump-ohjelmalla, se pyörii normaalisti yhtäjaksoisesti siihen asti, kunnes lopetat prosessin painamalla näppäimiä CTRL+C. Jos haluat kaapata vain tietyn määrän paketteja, käytät -c-vaihtoehtoa.

#tcpdump -c 10 -i wlp2s0

5. Pakettien kaappaus ja tallentaminen tiedostoon

Tämä on Tcpdumpin mielenkiintoisin ominaisuus, josta verkonvalvojat pitävät. Työkalu antaa sinulle mahdollisuuden tallentaa kaapatut paketit tiedostoon tarkempaa analyysia varten, kun verkossa tapahtuu jotain pahaa. Tiedosto tallennetaan pcap-muodossa, ja sitä voidaan tarkastella itse Tcpdumpilla tai muilla pakettien analysointityökaluilla, kuten Wiresharkilla. Kaapattu tiedosto tallennetaan nykyiseen hakemistoon, jossa käynnistät Tcpdumpin.

#tcpdump -w 0001.pcap -i wlp2s0

6. Kaapattujen pakettien tiedoston lukeminen

Yllä olevan esimerkin 5 jatkona voit lukea kaapatun tiedoston käyttämällä -r-vaihtoehtoa. Muista vain ajaa tämä vaihtoehto samassa kansiossa, jossa voit ajaa -w-vaihtoehdon edellä.

#tcpdump -r 0001.pcap

7. Sieppaa paketti tietystä portista

Internetin käsitteessä on niin monia portteja. Kaikkien porttien skannaaminen voi tehdä kaappaustuloksista liian täynnä. Voit rajata tuloksia ja helpottaa työtäsi kaappaamalla vain tietyn portin. Voit esimerkiksi haluta suodattaa tulokset vain portin 80 osalta. Internetin käsitteessä portti 80 tunnetaan HTTP-porttina.

#tcpdump -i wlp2s0 port 80

8. Sieppaa vain TCP-paketit

Voit myös suodattaa tulokset näyttämään vain TCP-paketit. Käytä siihen tcp-suffiksiä.

#tcpdump -n -i wlp2s0 tcp

YouTube video: 8 Esimerkkejä Tcpdumpin käytöstä

Rate article
© 2022 Nörttien verkko
This website uses cookies to improve user experience. By continuing to use the site, you consent to the use of cookies.