Yen sampeyan perlu nganalisa utawa nyegat paket-paket jaringan ing Linux, luwih becik nggunakake fungsi konsol iki. tcpdump. Nanging masalah muncul ing manajemen sing rada rumit. Bakal koyone ora nyaman kanggo pangguna biasa kanggo nggarap sarana, nanging iki mung sepisanan. Artikel bakal nerangake carane tcpdump diatur, sintaks apa, cara nganggo, lan akeh conto pamakehe bakal diwenehi.
Deleng uga: Tutorial kanggo nyetel sambungan internet ing Ubuntu, Debian, Ubuntu Server
Instalasi
Paling pangembang sistem operasi berbasis Linux kalebu sarana tcpdump ing daftar sing wis diinstal, nanging yen ana alesan ora ana ing distribusi, sampeyan bisa ngundhuh lan nginstal kanthi gampang liwat "Terminal". Yen OS sampeyan adhedhasar Debian, lan iki Ubuntu, Linux Mint, Kali Linux lan liya-liyane, sampeyan kudu nglakoni perintah iki:
sudo apt install tcpdump
Nalika nginstal sampeyan kudu ngetik sandhi. Wigati dicathet menawa nalika ngetik ora ditampilake, uga kanggo konfirmasi instalasi, sampeyan kudu ngetik karakter kasebut "D" lan penet Ketik.
Yen sampeyan duwe Red Hat, Fedora utawa CentOS, printah instalasi bakal katon kaya iki:
sudo nginstal tcpdump
Sawise instalasi wis diinstal, sampeyan bisa langsung nggunakake. Iki lan luwih akeh bakal dibahas ing teks kasebut.
Deleng uga: Pandhuan Instalasi PHP kanggo Ubuntu Server
Sintaks
Kaya printah liyane, tcpdump nduweni sintaks dhewe. Ngerti, sampeyan bisa nyetel kabeh paramèter sing perlu ditrapake nalika nganakake perintah kasebut. Sintaks punika:
opsi tcpdump -i antarmuka antarmuka
Nalika nggunakake printah, sampeyan kudu nemtokake antarmuka kanggo trek. Filter-filter lan opsi ora minangka variabel wajib, nanging ngidini konfigurasi sing luwih fleksibel.
Pilihan
Sanajan ora perlu kanggo nemtokake pilihan kasebut, isih perlu kanggo nulis dhaptar sing kasedhiya. Tabel ora nuduhake kabeh daftar, nanging mung sing paling populer, nanging luwih saka cukup kanggo ngatasi kabeh tugas.
| Opsi | Definisi |
|---|---|
| -A | Ngidini sampeyan ngurutake bungkus ing format ASCII |
| -l | Nambah fungsi gulung. |
| -i | Sawise ngetik sampeyan kudu nemtokake antarmuka jaringan sing bakal dipantau. Kanggo miwiti nelusuri kabeh antar muka, ketik tembung "sembarang" sawise pilihan kasebut. |
| -c | Nempemake proses tracking sawise mriksa jumlah paket sing ditemtokake. |
| -w | Nggawe file teks kanthi laporan verifikasi. |
| -e | Nuduhake tingkat koneksi internet saka paket data. |
| -L | Nampilake mung protokol sing didhukung dening antarmuka jaringan kasebut. |
| -C | Nggawe file liya nalika nulis paket yen ukurane luwih gedhe tinimbang sing kasebut. |
| -r | Mbukak file kanggo maca sing digawe nganggo opsi -w. |
| -j | Format TimeStamp bakal digunakake kanggo paket rekaman. |
| -J | Ngidini sampeyan ndeleng kabeh format sing kasedhiya ing TimeStamp |
| -G | Digunakna kanggo nggawe file mawa log. Opsi iki uga mbutuhake nilai sauntara, sawise sing bakal digawé log anyar |
| -v, -vv, -vvv | Gumantung marang nomer karakter ing pilihan, output printah bakal dadi luwih rinci (nambah terus kanthi lurus karo nomer karakter) |
| -f | Output nuduhake jeneng domain alamat IP |
| -F | Ngidini sampeyan maca informasi ora saka antarmuka jaringan, nanging saka file kasebut |
| -D | Nduduhake kabeh antarmuka jaringan sing bisa digunakake. |
| -n | Deactivates tampilan jeneng domain |
| -Z | Nemtokake pangguna ing akun kasebut kabeh file bakal digawe. |
| -K | Skip analisis kualifikasi |
| -q | Demonstrasi informasi singkat |
| -H | Ndeteksi pamisah 802.11s |
| -I | Digunakake nalika njupuk paket ing mode monitor. |
Duwe mrikso pilihan, ing ngisor iki kita nguripake langsung menyang aplikasi. Ing wektu samesthine, saringan bakal dianggep.
Filter-filter
Kaya kasebut ing awal artikel, sampeyan bisa nambah saringan menyang sintaks tcpdump. Saiki sing paling populer bakal dianggep:
| Filter | Definisi |
|---|---|
| inang | Nemtokake jeneng inang. |
| net | Nemtokake subnet lan jaringan IP |
| ip | Nemtokake alamat protokol |
| src | Nampilake paket sing dikirim saka alamat kasebut |
| dst | Nampilake paket sing ditampa dening alamat kasebut. |
| arp, udp, tcp | Filtering dening salah sawijining protokol |
| port | Nuduhake informasi sing gegandhengan karo port tartamtu. |
| lan, utawa | Digunakna kanggo gabungke filter saperangan ing printah. |
| kurang luwih | Paket output luwih cilik utawa luwih gedhe tinimbang ukuran kasebut |
Kabeh filter saringan kasebut bisa digabung karo siji liyane, saéngga ing nerbitake printah, sampeyan bakal mirsani mung informasi sing pengin sampeyan ndeleng. Kanggo mangerteni kanthi luwih rinci, nggunakake saringan kasebut, iku worth menehi conto.
Deleng uga: Perintah sing kerep dipigunakaké ing Terminal Linux
Conto panggunaan
Opsi sintaks tcpdump sing kerep digunakake saiki bakal didaftar. Kabeh mau ora bisa didaftar, amarga variasi bisa tanpa wates.
Deleng dhaptar antarmuka
Dianjurake saben pangguna wiwit mriksa dhaftar kabeh antarmuka jaringan sing bisa dilacak. Saka tabel ing ndhuwur kita ngerti sing iki sampeyan kudu nggunakake pilihan -D, saéngga ing terminal nglakoni perintah ing ngisor iki:
sudo tcpdump -D
Conto:
Minangka sampeyan bisa ndeleng, ana wolung antar muka ing conto sing bisa dideleng kanthi nggunakake perintah tcpdump. Artikel bakal nyedhiyakake conto ppp0, sampeyan bisa nggunakake liyane.
Penangkapan lalu lintas normal
Yen sampeyan perlu kanggo trek antarmuka jaringan siji, sampeyan bisa nindakake iki kanthi opsi -i. Aja lali nulis jeneng antarmuka sawise ngetik. Punika conto ngeksekusi printah kasebut:
sudo tcpdump -i ppp0
Elinga: sampeyan kudu ngetik "sudo" sadurunge perintah kasebut, amarga mbutuhake hak superuser.
Conto:
Cathetan: sawise mencet Ketik ing "Terminal", paket dicegat bakal ditampilake terus-terusan. Kanggo mungkasi aliran, sampeyan kudu mencet kombinasi tombol Ctrl + C.
Yen sampeyan mbukak perintah kasebut tanpa opsi lan filter tambahan, sampeyan bakal ndeleng format ing ngisor iki kanggo nampilake paket sing dilacak:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], kayata 1: 595, ack 1118, menang 6494, opsi [nop, nop, TS val 257060077 ecr 697597623], dawa 594
Ngendi warna disorot:
- biru - wektu panrimo paket;
- orange - protocol version;
- alamat ijo - pangirim;
- ungu - alamat panampa;
- abu-abu - informasi tambahan babagan tcp;
- ukuran abang - paket (ditampilake ing bita).
Sintaks iki nduweni kemampuan kanggo ngasilake ing jendela "Terminal" tanpa nggunakake opsi tambahan.
Tangkap lalu lintas nganggo pilihan -v
Minangka dikenal saka meja, pilihan -v ngidini sampeyan nambah jumlah informasi. Ayo kita nimbang conto. Priksa antarmuka sing padha:
sudo tcpdump -v -i ppp0
Conto:
Kene sampeyan bisa ndeleng yen baris ing ngisor iki muncul ing output:
IP (wis 0x0, ttl 58, id 30675, offset 0, bendera [DF], proto TCP (6), dawa 52
Ngendi warna disorot:
- orange - protocol version;
- biru - urip protokol;
- ijo - dawa header lapangan;
- ungu - versi paket tcp;
- ukuran abang - paket.
Uga ing sintaks perintah sampeyan bisa nulis pilihan kasebut -vv utawa -vvv, sing bakal nambah jumlah informasi sing katon ing layar.
Pilihan -w lan -r
Tabel opsi kasebut kamungkinan nyimpen kabeh data output ing file sing kapisah supaya bisa ditemokake ing wayah wengi. Opsi tanggung jawab kasebut. -w. Iku cukup prasaja digunakake, mung ketik ing printah lan banjur ketik jeneng file mangsa karo extension ".pcap". Coba conto kabeh:
sudo tcpdump -i ppp0 -w file.pcap
Conto:
Elinga: nalika nulis log menyang file, ora ana teks ditampilake ing layar "Terminal".
Yen sampeyan pengin ndeleng output sing direkam, sampeyan kudu nggunakake pilihan kasebut -rdisusul kanthi jeneng file sing wis direkam sadurunge. Aplikasi iki diterapake tanpa pilihan lan filter liyane:
sudo tcpdump -r file.pcap
Conto:
Loro-lorone pilihan iki sampurna ing kasus-kasus ing ngendi sampeyan kudu nyimpen akeh teks kanggo analisis sabanjure.
Nyaring IP
Saka tabel panyaring, kita ngerti dst ngidini sampeyan nampilake ing layar console mung paket sing ditampa dening alamat sing kasebut ing sintaks perintah. Mangkono, iku trep banget kanggo ndeleng paket sing ditampa dening komputer. Kanggo nindakake iki, tim mung kudu nemtokake alamat IP panjenengan:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Conto:
Minangka sampeyan bisa ndeleng, liyane dst, ing tim, kita uga pangguna filter ip. Ing tembung liyane, kita nyritakake marang komputer yen nalika milih paket, dheweke bakal menehi perhatian marang alamat IP, lan ora kanggo paramèter liyane.
Miturut IP, sampeyan bisa nyaring lan ngirim paket. Ing conto, kita menehi IP maneh. Dadi, saiki kita bakal mangerteni paket sing dikirim saka komputer kita menyang alamat liyane. Kanggo nindakake iki, jalanake printah ing ngisor iki:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Conto:
Minangka sampeyan bisa ndeleng, kita ngowahi filter kasebut ing sintaks perintah. dst ing src, kanthi mangkono nuduhake mesin kanggo nelusuri pangirim dening IP.
Nyaring HOST
Miturut analogi karo IP ing tim, kita bisa nemtokake panyaring inangkanggo nompo metu paket kanthi inang. Dadi, ing sintaks, tinimbang alamat IP pangirim / panampa, sampeyan kudu nemtokake inang. Katon kaya iki:
sudo tcpdump -i ppp0 dst inang google-public-dns-a.google.com
Conto:
Ing gambar sampeyan bisa ndeleng sing ing "Terminal" Mung paket sing dikirim saka IP kita menyang host google.com ditampilake. Minangka sampeyan bisa ndeleng, tinimbang google host, sampeyan bisa ngetik liyane.
Minangka penyaringan IP, sintaksis yaiku: dst bisa diganti dening srcKanggo ndeleng paket sing dikirim menyang komputer:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Cathetan: panyaring inang kudu sawise dst utawa src, supaya printah iki bakal ngasilake kesalahan. Ing kasus penyaringan IP, sabanjure, dst lan src ana ing ngarepan panyaring ip.
Filter lan lan utawa
Yen sampeyan perlu nggunakake sawetara filter bebarengan ing siji printah, sampeyan kudu ngapikake filter. lan utawa utawa (gumantung ing kasus). Kanthi nemtokake filter ing sintaks lan ngisolasi operator kasebut, sampeyan "nggawe" wong-wong mau minangka siji. Contone, katon kaya iki:
sudo tcpdump -i ppp0 ip d 95.47.144.254 utawa ip src 95.47.144.254
Conto:
Saka sintaks perintah sampeyan bisa ndeleng manawa kita arep nampilake "Terminal" kabeh paket sing dikirim menyang alamat 95.47.144.254 lan paket sing ditampa dening alamat sing padha. Sampeyan uga bisa ngganti sawetara variabel ing ungkapan iki. Contone, tinimbang IP, nemtokake HOST utawa langsung ngganti alamat kasebut.
Filter port lan portrange
Filter port sampurna nalika sampeyan mbutuhake informasi babagan paket mawa port khusus. Dadi, yen sampeyan mung perlu ndeleng balesan utawa pitakon DNS, sampeyan kudu nemtokake port 53:
sudo tcpdump -vv -i ppp0 port 53
Conto:
Yen sampeyan pengin ndeleng paket http, sampeyan kudu ngetik port 80:
sudo tcpdump -vv -i ppp0 port 80
Conto:
Antarane liyane, iku bisa kanggo trek langsung ing sudhut port. Kanggo nindakake iki, ajak filter portrange:
sudo tcpdump portrange 50-80
Minangka sampeyan bisa ndeleng, magepokan karo panyaring portrange Sampeyan ora perlu nemtokake pilihan tambahan. Cukup atur jarakne.
Penyaringan Protokol
Sampeyan uga bisa nampilake mung lalu lintas sing cocok karo protokol. Kanggo nindakake iki, gunakake jeneng protokol iki minangka panyaring. Ayo katon conto udp:
sudo tcpdump -vvv -i ppp0 udp
Conto:
Minangka sampeyan bisa ndeleng ing gambar, sawise nglakoni perintah ing "Terminal" mung paket mawa protokol sing ditampilake udp. Miturut, sampeyan bisa nyaring dening wong liya, contone, arp:
sudo tcpdump -vvv -i ppp0 arp
utawa tcp:
sudo tcpdump -vvv -i ppp0 tcp
Filter net
Operator net mbantu ngilangi paket kasebut adhedhasar panrapan jaringan. Iku gampang digunaake minangka liyane - sampeyan kudu nemtokake atribut ing sintaksis net, banjur ketik alamat jaringan. Punika conto perintah kasebut:
sudo tcpdump -i ppp0 net 192.168.1.1
Conto:
Filter dening ukuran paket
Kita ora dianggep loro saringan sing luwih menarik: kurang lan luwih gedhe. Saka meja karo saringan, kita ngerti sing padha ngawula kanggo ngasilake luwih paket data (kurang) utawa kurang (luwih gedhe) ukuran sing ditemtokake sawisé atribut mlebu.
Upaminipun, kita mung pengin ngawasi paket sing ora ngluwihi 50 bit, banjur perintah kasebut bakal katon kaya iki:
sudo tcpdump -i ppp0 kurang 50
Conto:
Saiki ayo dipamerake ing "Terminal" paket luwih saka 50 bit:
sudo tcpdump -i ppp0 luwih gedhe 50
Conto:
Minangka sampeyan bisa ndeleng, padha digunakake merata, mung prabédan ing jeneng panyaring.
Kesimpulan
Ing pungkasan artikel kita bisa nganakke yen tim tcpdump - Iki alat gedhe sing bisa dilacak kabeh paket data sing ditularake liwat Internet. Nanging iki ora cukup kanggo ngetik perintah kasebut "Terminal". Kanggo entuk asil sing dikarepake bakal diwenehi mung yen sampeyan nggunakake kabeh pilihan lan filter, uga kombinasi.
