Phenquestions
„Tcpdump“ je paketový analyzátor a používa sa na diagnostiku a analýzu problémov so sieťou. Zachytáva sieťový prenos, ktorý prechádza vaším zariadením, a prehliada ho. Nástroj „tcpdump“ je výkonný nástroj na riešenie problémov so sieťou. Dodáva sa s mnohými možnosťami, čo z neho robí všestranný nástroj príkazového riadku na riešenie problémov so sieťou.
Tento príspevok predstavuje podrobného sprievodcu nástrojom „tcpdump“, ktorý obsahuje jeho inštaláciu, spoločné funkcie a použitie s rôznymi možnosťami. Začnime s inštaláciou:
Ako nainštalovať „tcpdump“:
V mnohých distribúciách vychádza „tcpdump“ z krabice a na jeho kontrolu použite:
$ ktorý tcpdump
Ak sa vo vašej distribúcii nenachádza, nainštalujte ho pomocou:
$ sudo apt nainštalovať tcpdumpVyššie uvedený príkaz sa použije pre distribúcie založené na Debiane, ako sú Ubuntu a LinuxMint. Pre „Redhat“ a „CentOS“ použite:
$ sudo dnf nainštalovať tcpdumpAko zachytiť pakety pomocou tcpdump:
Na zachytávanie paketov je možné použiť rôzne rozhrania. Zoznam rozhraní získate pomocou:
$ sudo tcpdump -D
Alebo jednoducho použite „ľubovoľný“ s príkazom „tcpdump“ na získanie paketov z aktívneho rozhrania. Ak chcete začať zachytávať pakety, postupujte takto:
$ sudo tcpdump - rozhranie akékoľvek
Vyššie uvedený príkaz sleduje pakety zo všetkých aktívnych rozhraní. Pakety sa budú neustále uchopovať, až kým ich nepreruší používateľ (ctrl-c).
Môžeme tiež obmedziť počet paketov, ktoré sa majú zachytiť, pomocou príznaku „-c“, ktorý označuje „počet“.„Na zachytenie 3 paketov použite:
$ sudo tcpdump -i akýkoľvek -c3
Vyššie uvedený príkaz je užitočný na filtrovanie konkrétneho paketu. Riešenie problémov s pripojením navyše vyžaduje zachytenie iba niekoľkých počiatočných paketov.
„tcpdump”Príkaz štandardne zachytáva pakety s IP a názvami portov, ale na vyčistenie, neporiadok a uľahčenie pochopenia výstupu; mená je možné deaktivovať pomocou „-n“A„-nn”Pre možnosť portu:
$ sudo tcpdump -i akýkoľvek -c3 -nn
Ako je uvedené vo vyššie uvedenom výstupe, boli odstránené názvy IP a portov.
Ako porozumieť informáciám o zachytenom pakete:
Ak sa chcete dozvedieť viac o rôznych poliach zachyteného paketu, vezmime si príklad paketu TCP:
Paket môže obsahovať rôzne polia, ale všeobecné sú zobrazené vyššie. Prvé pole, “09:48:18.960683,”Predstavuje čas, keď je paket prijatý. Ďalej nasledujú IP adresy; prvé IP [216.58.209.130] je zdrojová IP a druhá IP [10.0.2.15.55812] je cieľová adresa IP. Potom získate vlajku [P.]; zoznam typických príznakov je uvedený nižšie:
| Vlajka | Typ | Popis |
| „.“ | ACK | Znamená potvrdenie |
| S | SYN | Vlajka pre začatie pripojenia |
| F | FIN | Označenie ukončeného spojenia |
| P | TAM | Označuje vloženie údajov od odosielateľa |
| R | RST | Reset pripojenia |
A na rad príde poradové číslo “seq 185: 255“. Klient aj server používajú na údržbu a sledovanie údajov 32-bitové poradové číslo.
„ack„Je vlajka; ak je 1, znamená to, že potvrdzovacie číslo je platné, a prijímač očakáva ďalší bajt.
Číslo okna označuje veľkosť medzipamäte. „vyhrať 65535”Znamená množstvo dát, ktoré je možné ukladať do medzipamäte.
A nakoniec príde dĺžka [70] paketu v bajtoch, čo je rozdiel „185: 255“.
Filtrovanie paketov na odstránenie problémov so sieťou:
Nástroj „tcpdump“ zachytáva stovky paketov a väčšina z nich má menší význam, čo znemožňuje získanie požadovaných informácií na riešenie problémov. V takom prípade bude hrať svoju úlohu filtrovanie. Ak napríklad pri riešení problémov nemáte záujem o konkrétny typ prenosu, môžete ho filtrovať pomocou príkazu „tcpdump“, ktorý je dodávaný s filtrovaním paketov podľa adries IP, portov a protokolov.
Ako zachytiť paket pomocou názvu hostiteľa pomocou príkazu tcpdump:
Ak chcete získať paket iba od konkrétneho hostiteľa, použite:
$ sudo tcpdump -i akýkoľvek -c4 hostiteľ 10.0.2.15
Ak chcete získať iba jednosmernú premávku, použite „src“A„dst“Možnosti namiesto„hostiteľ.“
Ako zachytiť paket pomocou čísla portu pomocou príkazu tcpdump:
Ak chcete filtrovať pakety s číslom portu, použite:
$ sudo tcpdump -i ľubovoľný -c3 -nn port 443
„443“ je číslo portu HTTPS.
Ako zachytiť paket pomocou protokolu pomocou príkazu tcpdump:
Pomocou príkazu „tcpdump“ môžete filtrovať pakety podľa ľubovoľného protokolu, napríklad udp, icmp, arp atď. Jednoducho zadajte názov protokolu:
$ sudo tcpdump -i ľubovoľný -c6 udp
Vyššie uvedené príkazy zachytia iba pakety, ktoré patria do protokolu „udp“.
Ako kombinovať možnosti filtrovania pomocou logických operátorov:
Rôzne možnosti filtrovania je možné kombinovať pomocou logických operátorov ako „a / alebo“:
$ sudo tcpdump -i ľubovoľný -c6 -nn hostiteľ 10.0.2.15 a prístav 443
Ako ukladať zachytené údaje:
Získané údaje je možné uložiť do súboru, aby ste ich mohli neskôr sledovať. Pre túto voľbu sa použije voľba „-w“ a „w“ znamená „zápis“:
$ sudo tcpdump -i any -c5 -w packetData.pcap
Prípona súboru by bola „.pcap, “čo znamená„ zachytenie paketu.„Po dokončení snímania sa súbor uloží na miestny disk. Tento súbor nie je možné otvoriť alebo prečítať pomocou žiadneho programu textového editora. Ak si ju chcete prečítať, použite-rVlajka s “tcpdump”:
$ tcpdump -r packetData.pcap
Záver:
„Tcpdump“ je cenný a flexibilný nástroj na zaznamenávanie a analýzu sieťového prenosu na riešenie problémov so sieťou. Cieľom tejto príručky je naučiť sa základné a pokročilé použitie obslužného programu príkazového riadku „tcpdump“. Ale ak to považujete za ťažké, existuje menej komplexný program založený na grafickom používateľskom rozhraní s názvom „Wireshark“, ktorý robí takmer rovnakú prácu, ale s rôznymi ďalšími funkciami.
