Phenquestions
"Tcpdump" on pakettianalysaattori, jota käytetään diagnosoimaan ja analysoimaan verkko-ongelmia. Se sieppaa laitteesi läpi kulkevan verkkoliikenteen ja tarkastelee sitä. "Tcpdump" -työkalu on tehokas työkalu verkko-ongelmien vianmääritykseen. Siinä on monia vaihtoehtoja, mikä tekee siitä monipuolisen komentorivin apuohjelman verkko-ongelmien korjaamiseen.
Tämä viesti on yksityiskohtainen opas tcpdump-apuohjelmasta, joka sisältää sen asennuksen, yleiset ominaisuudet ja käytön eri vaihtoehdoilla. Aloitetaan asennuksesta:
Kuinka asentaa “tcpdump”:
Monissa jakeluissa tcpdump tulee ulos laatikosta, ja tarkista se käyttämällä:
$ mikä tcpdump
Jos sitä ei löydy jakelustasi, asenna se seuraavilla tavoilla:
$ sudo apt install tcpdumpYllä olevaa komentoa käytetään Debian-pohjaisiin jakeluihin, kuten Ubuntu ja LinuxMint. Käytä Redhatia ja CentOSia seuraavasti:
$ sudo dnf install tcpdumpKuinka siepata paketteja tcpdumpilla:
Erilaisia rajapintoja voidaan käyttää pakettien sieppaamiseen. Saat luettelon käyttöliittymistä käyttämällä:
$ sudo tcpdump -D
Tai käytä vain mitä tahansa tcpdump-komennolla pakettien saamiseksi aktiivisesta käyttöliittymästä. Pakettien sieppauksen käytön aloittaminen:
$ sudo tcpdump - käyttöliittymä mikä tahansa
Yllä oleva komento jäljittää paketteja kaikista aktiivisista rajapinnoista. Paketteja tartutaan jatkuvasti, kunnes se saa käyttäjän keskeytyksen (ctrl-c).
Voimme myös rajoittaa siepattavien pakettien määrää käyttämällä “-c” -merkkiä, joka merkitsee “count”.”Voit siepata 3 pakettia käyttämällä:
$ sudo tcpdump -i mikä tahansa -c3
Yllä oleva komento on hyödyllinen tietyn paketin suodattamiseksi. Lisäksi yhteysongelmien vianmääritys vaatii vain muutaman alkuperäisen paketin sieppaamisen.
"tcpdump”-Komento sieppaa oletusarvoisesti paketit, joissa on IP- ja porttinimet, mutta siivoamiseksi, sotku ja tuloksen helpompi ymmärtää; nimet voidaan poistaa käytöstä-n"Ja"-nn”Porttivaihtoehdolle:
$ sudo tcpdump -i mikä tahansa -c3 -nn
Kuten yllä olevasta lähdöstä käy ilmi, IP- ja porttinimet on poistettu.
Siepatun paketin tietojen ymmärtäminen:
Otetaan esimerkki kaapatun paketin eri kentistä ottamalla esimerkki TCP-paketista:
Paketilla voi olla useita kenttiä, mutta yleiset kentät näkyvät yllä. Ensimmäinen kenttä09:48:18.960683,”Edustaa aikaa, jolloin paketti vastaanotetaan. Seuraavaksi tulevat IP-osoitteet; ensimmäinen IP [216.58.209.130] on lähde-IP ja toinen IP [10.0.2.15.55812] on kohde-IP. Sitten saat lipun [P.]; alla on luettelo tyypillisistä lipuista:
| Lippu | Tyyppi | Kuvaus |
| ".” | ACK | Merkitsee kuittausta |
| S | SYN | Lippu yhteyden muodostamista varten |
| F | FIN | Suljetun yhteyden lippu |
| P | TYÖNTÄÄ | Osoittaa lähettäjän lähettämän tiedon |
| R | RST | Yhteyden uudelleen käynnistys |
Ja seuraavaksi tulee sarjanumero “jakso 185: 255”. Asiakas ja palvelin käyttävät molemmat 32-bittistä järjestysnumeroa tietojen ylläpitoon ja valvontaan.
"ack”On lippu; jos se on 1, se tarkoittaa, että kuittausnumero on kelvollinen, ja vastaanotin odottaa seuraavan tavun.
Ikkunan numero osoittaa puskurin koon. "voittaa 65535”Tarkoittaa puskuroitavan tiedon määrää.
Ja lopulta tulee pituus [70] pakettia tavuina, mikä on ero185: 255”.
Pakettien suodattaminen verkko-ongelmien korjaamiseksi:
"Tcpdump" -työkalu sieppaa satoja paketteja, ja useimmilla niistä on vähemmän merkitystä, minkä vuoksi on paljon monimutkaista saada tarvittavat tiedot vianmääritykseen. Tällöin suodatus toimii. Esimerkiksi vianmäärityksen aikana, jos et ole kiinnostunut tietystä liikennetyypistä, voit suodattaa sen käyttämällä "tcpdump" -ohjelmaa, joka toimitetaan suodattamalla paketteja IP-osoitteiden, porttien ja protokollien mukaan.
Kuinka siepata paketti isäntänimellä tcpdump-komennolla:
Saadaksesi paketin vain tietyltä isännältä, käytä:
$ sudo tcpdump -i mikä tahansa -c4-isäntä 10.0.2.15
Jos haluat saada vain yksisuuntaista liikennettä, käytäsrc"Ja"dst”Vaihtoehtoja“isäntä.”
Kuinka siepata paketti porttinumerolla tcpdump-komennolla:
Suodata pakettien kanssa portin numero käyttämällä:
$ sudo tcpdump -i mikä tahansa -c3 -nn-portti 443
”443” on HTTPS-porttinumero.
Kuinka siepata paketti protokollan avulla tcpdump-komennolla:
“Tcpdump” -komennolla voit suodattaa paketteja minkä tahansa protokollan, kuten udp, icmp, arp, jne. Mukaan. Kirjoita vain protokollan nimi:
$ sudo tcpdump -i mikä tahansa -c6 udp
Yllä olevat komennot kaappaavat vain paketteja, jotka kuuluvat “udp” -protokollaan.
Suodatusvaihtoehtojen yhdistäminen loogisten operaattoreiden avulla:
Eri suodatusvaihtoehtoja voidaan yhdistää käyttämällä loogisia operaattoreita, kuten "ja / tai":
$ sudo tcpdump -i mikä tahansa -c6 -nn isäntä 10.0.2.15 ja portti 443
Siepattujen tietojen tallentaminen:
Haetut tiedot voidaan tallentaa tiedostoon sen seuraamiseksi myöhemmin, ja tällöin käytetään "-w" -vaihtoehtoa, ja "w" tarkoittaa "kirjoita":
$ sudo tcpdump -i kaikki -c5 -w packetData.pcap
Tiedoston laajennus olisi.pcap, joka tarkoittaa "pakettien sieppausta"."Kun sieppaus on valmis, tiedosto tallennetaan paikalliseen asemaan. Tätä tiedostoa ei voi avata tai lukea millään tekstieditorilla. Voit lukea sen käyttämällä-r”Lippu tekstillä“ tcpdump ”:
$ tcpdump -r packetData.pcap
Päätelmä:
"Tcpdump" on arvokas ja joustava työkalu verkkoliikenteen kaappaamiseen ja analysointiin verkko-ongelmien vianmääritystä varten. Tämän oppaan huomion kohteena on oppia ”tcpdump” -komentorivin apu- ja peruskäyttö. Mutta jos se on vaikeaa, on olemassa vähemmän monimutkainen GUI-pohjainen ohjelma nimeltä Wireshark, joka tekee melkein saman työn, mutta sisältää useita lisäominaisuuksia.
