Ef þú þarft að greina eða taka á móti netpökkum á Linux, er best að nota huggaforritið fyrir þetta. tcpdump. En vandamálið kemur upp í frekar flókið stjórnun. Það virðist óþægilegt fyrir venjulegan notanda að vinna með gagnsemi, en þetta er aðeins við fyrstu sýn. Greinin mun útskýra hvernig tcpdump er skipulagt, hvaða setningafræði það hefur, hvernig á að nota það og fjölmargir dæmi um notkun hans verður gefinn.
Sjá einnig: Námskeið til að setja upp internettengingu í Ubuntu, Debian, Ubuntu Server
Uppsetning
Flestir verktaki af Linux-stýrikerfum eru tcpdump gagnsemi í listanum yfir fyrirfram uppsettar sjálfur, en ef það af einhverri ástæðu er ekki í dreifingu þinni geturðu alltaf hlaðið niður og sett upp það í gegnum "Terminal". Ef OS er byggt á Debian, og þetta er Ubuntu, Linux Mint, Kali Linux og þess háttar, þú þarft að keyra þessa stjórn:
sudo líklega setja upp tcpdump
Þegar þú setur upp þarftu að slá inn lykilorð. Vinsamlegast athugaðu að þegar þú skrifar það birtist ekki, einnig til að staðfesta uppsetninguna, verður þú að slá inn stafinn "D" og ýttu á Sláðu inn.
Ef þú ert með Red Hat, Fedora eða CentOS, mun uppsetningarskipan líta svona út:
sudo setja upp tcpdump
Eftir að tólið er sett upp geturðu strax notað það. Þetta og margt fleira verður rædd seinna í textanum.
Sjá einnig: PHP Uppsetningarleiðbeiningar fyrir Ubuntu Server
Setningafræði
Eins og allir aðrir stjórn, hefur tcpdump sitt eigin setningafræði. Vitandi hann, þú getur stillt allar nauðsynlegar breytur sem taka skal tillit til þegar þú framkvæmir skipunina. Setningafræði er:
Tcpdump valkostir-í tengi síur
Þegar þú notar skipunina verður þú að tilgreina viðmótið til að fylgjast með. Síur og valkostir eru ekki lögboðnar breytur, en þeir leyfa fyrir sveigjanlegri stillingu.
Valkostir
Þótt ekki sé nauðsynlegt að tilgreina valkostinn, er enn nauðsynlegt að skrá þær tiltækar. Taflan sýnir ekki alla listann, en aðeins vinsælustu, en þau eru meira en nóg til að leysa flest verkefni.
| Valkostur | Skilgreining |
|---|---|
| -A | Leyfir þér að raða pakka í ASCII sniði |
| -l | Bætir við skrunaraðgerð. |
| -i | Eftir að þú slærð inn þarftu að tilgreina netviðmótið sem fylgist með. Til að byrja að fylgjast með öllum tengi skaltu slá inn orðið "einhver" eftir valkostinn. |
| -c | Lýkur mælingarferlinu eftir að hafa hreinsað tilgreint fjölda pakka. |
| -w | Býr til textaskrá með staðfestingarskýrslu. |
| -e | Sýnir nettengingarstig gagnapakkans. |
| -L | Sýnir aðeins þær samskiptareglur sem eru studdar af tilgreindum netviðmóti. |
| -C | Býr til annan skrá meðan þú skrifar pakka ef stærð hennar er stærri en tilgreind einn. |
| -r | Opnar skrá til að lesa sem var búin til með -w valkostinum. |
| -j | TimeStamp snið verður notað til að taka upp pakka. |
| -J | Leyfir þér að skoða öll tiltæk snið TimeStamp |
| -G | Notað til að búa til skrá með logs. Valkosturinn krefst einnig tímabundið gildi, eftir það verður nýtt innskráður |
| -v, -vv, -vvv | Það fer eftir fjölda stafa í valkostinum og framleiðsla stjórnunarinnar verður nákvæmari (aukning er í réttu hlutfalli við fjölda stafa) |
| -f | Framleiðsla sýnir lén IP-tölu |
| -F | Leyfir þér að lesa upplýsingar ekki frá netviðmótinu, en frá tilgreindri skrá |
| -D | Sýnir öll netviðmót sem hægt er að nota. |
| -n | Slökkt á birtingu lénsheiti |
| -Z | Tilgreinir notandann á hvaða reikningi allar skrár verða búnar til. |
| -K | Hoppa yfir athugunargreiningu |
| -q | Sýning á stuttum upplýsingum |
| -H | Uppgötva 802.11s haus |
| -I | Notað við að taka upp pakka í skjáham. |
Eftir að hafa skoðað valkostina hér fyrir neðan snúum við beint til umsókna þeirra. Í millitíðinni verða síur íhugaðar.
Síur
Eins og getið er um í upphafi greinarinnar er hægt að bæta við síum við setningafræði tcpdump. Nú verður vinsælli þeirra talinn:
| Sía | Skilgreining |
|---|---|
| gestgjafi | Tilgreinir gestgjafann. |
| nettó | Tilgreinir IP undirnet og net |
| ip | Tilgreinir siðareglur heimilisfangsins |
| src | Sýnir pakka sem voru send frá tilgreindum heimilisfangi |
| dst | Sýnir pakka sem voru móttekin af tilgreindum heimilisfangi. |
| arp, udp, tcp | Síun með einum af bókunum |
| höfn | Sýnir upplýsingar sem tengjast tilteknum höfn. |
| og, eða | Notað til að sameina margar síur í stjórn. |
| minna, meiri | Output pakkar minni eða stærri en tilgreind stærð |
Öllum ofangreindum síum er hægt að sameina við hvert annað, þannig að þegar þú gefur út skipun er aðeins hægt að fylgjast með þeim upplýsingum sem þú vilt sjá. Til að skilja nánar í notkun á ofangreindum síum er það þess virði að gefa dæmi.
Sjá einnig: Algengar skipanir í Linux Terminal
Dæmi um notkun
Oft notuð tcpdump setningafræði valkostir verða nú að vera skráð. Öll þau geta ekki verið skráð, þar sem afbrigði þeirra geta verið óendanlegar.
Skoða tengi lista
Mælt er með því að hver notandi taki fyrst eftir lista yfir öll netviðmótin sem hægt er að rekja. Frá töflunni hér að ofan vitum við að fyrir þetta þarftu að nota valkostinn -D, því í flugstöðinni hlaupa eftirfarandi skipun:
sudo tcpdump -D
Dæmi:
Eins og þú sérð eru átta tengi í dæminu sem hægt er að skoða með því að nota tcpdump stjórnina. Greinin mun veita dæmi um ppp0, þú getur notað eitthvað annað.
Venjuleg umferð handtaka
Ef þú þarft að fylgjast með einu netkerfi, getur þú gert þetta með valkostinum -i. Ekki gleyma að slá inn tengi nafnið eftir að slá það inn. Hér er dæmi um framkvæmd slíkrar stjórnunar:
sudo tcpdump -i ppp0
Vinsamlegast athugaðu: þú þarft að slá inn "sudo" áður en stjórnin er sjálf, þar sem það krefst þess að réttur superuser er.
Dæmi:
Ath .: Eftir að hafa ýtt á Enter í "Terminal" verður sýnt pakki stöðugt sýnt. Til að stöðva flæði þeirra þarftu að ýta á lyklaborðið Ctrl + C.
Ef þú keyrir skipunina án viðbótarvalkosta og sía, muntu sjá eftirfarandi snið til að sýna rekja pakka:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Fánar [P.], seq 1: 595, ack 1118, vinna 6494, valkostir [nop, nop, TS val 257060077 697597623 ecr], lengd 594
Þar sem liturinn er auðkenndur:
- blár - tími móttöku pakkans;
- appelsína - siðareglur útgáfa;
- grænn - heimilisfang sendanda;
- fjólublátt - heimilisfang viðtakanda;
- grár - viðbótarupplýsingar um tcp;
- Rauður pakki stærð (birt í bæti).
Þetta setningafræði hefur getu til að framleiða í glugganum "Terminal" án þess að nota fleiri valkosti.
Handtaka umferð með -v valkostinum
Eins og vitað er frá borðið er kosturinn -v gerir þér kleift að auka magn upplýsinga. Lítum á dæmi. Athugaðu sama tengi:
sudo tcpdump -v -i ppp0
Dæmi:
Hér getur þú séð að eftirfarandi lína birtist í framleiðslunni:
IP (tos 0x0, ttl 58, id 30675, móti 0, fánar [DF], proto TCP (6), lengd 52
Þar sem liturinn er auðkenndur:
- appelsína - siðareglur útgáfa;
- blár - lífið í siðareglur;
- grænn - lengd svæðishaussins;
- fjólublátt - útgáfa af tcp pakkanum;
- rauður pakki stærð.
Einnig er hægt að skrifa valkostinn í skipuninni -vv eða -vvv, sem mun frekar auka magn upplýsinga sem birtast á skjánum.
The -w og -r valkostur
Valkostataflan nefndi möguleika á að vista allar framleiðslugögn í sérstakri skrá svo að hægt sé að skoða þær síðar. Kosturinn er ábyrgur fyrir þessu. -w. Það er frekar einfalt að nota, sláðu bara inn það í stjórninni og sláðu síðan inn nafn framtíðarskrárinnar með viðbótinni ".pcap". Íhuga öll dæmi:
sudo tcpdump -i ppp0 -w file.pcap
Dæmi:
Vinsamlegast athugaðu: Þegar þú skráir þig inn í skrá, birtist engin texti á skjánum "Terminal".
Þegar þú vilt skoða skráða framleiðsluna þarftu að nota valkostinn -rfylgt eftir með nafni áður skráðar skrár. Það er beitt án annarra valkosta og sía:
sudo tcpdump -r file.pcap
Dæmi:
Báðir þessara valkosta eru fullkomin í þeim tilvikum þar sem þú þarft að vista mikið magn af texta til síðari greiningu.
IP sía
Frá síunarborðinu vitum við það dst leyfir þér að birta aðeins á pakka skjánum þeim pakka sem voru mótteknar með því heimilisfangi sem tilgreint er í stjórnorðasniðinu. Þannig er það mjög þægilegt að skoða pakka sem berast af tölvunni þinni. Til að gera þetta þarf liðið bara að tilgreina IP-tölu þína:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Dæmi:
Eins og þú sérð, að auki dstÍ hópnum skráðum við einnig síuna ip. Með öðrum orðum, við sögðum við tölvuna að hann myndi taka eftir IP-tölu sinni, en ekki við aðrar breytur, þegar hann valði pakka.
Með IP er hægt að sía og senda pakka. Í dæminu gefumst við IP okkar aftur. Það er, við munum nú fylgjast með hvaða pakkar eru sendar frá tölvunni til annarra heimilisföng. Til að gera þetta skaltu keyra eftirfarandi skipun:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Dæmi:
Eins og þú sérð breyttum við síuna í skipuninni. dst á src, þar með sagt vélinni að leita að sendanda með IP.
HOST sía
Á hliðstæðan hátt með IP í liðinu getum við tilgreint síu gestgjafiað grípa út pakka með hýsingu áhuga. Það er í setningafræði í stað IP-tölu sendanda / viðtakanda, þú þarft að tilgreina gestgjafann. Það lítur svona út:
sudo tcpdump -i ppp0 dst gestgjafi google-public-dns-a.google.com
Dæmi:
Á myndinni sem þú getur séð það í "Terminal" Aðeins þeir pakkar sem voru sendar frá IP okkar til google.com gestgjafi birtist. Eins og þú getur séð, í staðinn fyrir Google gestgjafi, getur þú slegið inn aðra.
Eins og með IP sía er setningafræði: dst má skipta um srcTil að sjá pakka sem eru sendar á tölvuna þína:
sudo tcpdump -i ppp0 src gestgjafi google-public-dns-a.google.com
Athugaðu: Hýsilinn verður að vera eftir dst eða src, annars mun stjórnin búa til villu. Í tilviki IP síunar, þvert á móti, eru dst og src fyrir ip síuna.
Sía og og eða
Ef þú þarft að nota nokkrar síur í einu í einum stjórn, þá þarftu að sækja um síu. og eða eða (fer eftir málinu). Með því að tilgreina síurnar í setningafræði og aðgreina þau með þessum rekstraraðilum, "vinnurðu" þau vinna sem einn. Í dæmi, það lítur svona út:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 eða ip src 95.47.144.254
Dæmi:
Frá stjórn setningafræðinnar er hægt að sjá að við viljum sýna "Terminal" allar pakkningar sem voru sendar til heimilisfangsins 95.47.144.254 og pakkar sem bárust með sama netfangi. Þú getur einnig breytt sumum breytum í þessari tjáningu. Til dæmis, í stað IP, tilgreina HOST eða skipta um heimilisfangin sjálfkrafa.
Sía höfn og portrange
Sía höfn fullkominn fyrir þegar þú þarft að fá upplýsingar um pakka með tilteknum höfn. Svo, ef þú þarft aðeins að sjá svör eða DNS fyrirspurnir, þá þarftu að tilgreina höfn 53:
sudo tcpdump -vv -i ppp0 port 53
Dæmi:
Ef þú vilt skoða http pakka þarftu að slá inn höfn 80:
sudo tcpdump -vv -i ppp0 port 80
Dæmi:
Meðal annars er hægt að fylgjast strax með fjölda hafna. Til að gera þetta skaltu nota síuna portrange:
sudo tcpdump portrange 50-80
Eins og þú getur séð, í tengslum við síuna portrange Ekki er nauðsynlegt að tilgreina fleiri valkosti. Stilla bara bilið.
Bókunarsía
Þú getur einnig aðeins sýnt umferðina sem samsvarar öllum siðareglum. Til að gera þetta skaltu nota heiti þessa siðareglu sem síu. Við skulum skoða dæmi udp:
sudo tcpdump -vvv -i ppp0 udp
Dæmi:
Eins og sjá má á myndinni, eftir að stjórnin er framkvæmd "Terminal" aðeins pakkar með samskiptareglum voru birtar udp. Samkvæmt því er hægt að sía af öðrum, til dæmis, Arp:
sudo tcpdump -vvv -i ppp0 arp
eða tcp:
sudo tcpdump -vvv -i ppp0 tcp
Sía net
Flugrekandi nettó hjálpar sía út pakka byggt á tilnefningu netkerfisins. Það er eins auðvelt að nota eins og restin - þú þarft að tilgreina eiginleiki í setningafræði nettó, sláðu síðan inn netfangið. Hér er dæmi um slíkt skipun:
sudo tcpdump -i ppp0 net 192.168.1.1
Dæmi:
Sía eftir pakkningastærð
Við höfum ekki talið tvo fleiri áhugaverða síur: minna og meiri. Frá borðinu með síum vitum við að þeir þjóna til að framleiða fleiri gagnapakkningar (minna) eða minna (meiri) Stærðin sem tilgreind er eftir að eiginleiki er sleginn inn.
Segjum að við viljum aðeins fylgjast með pakka sem fara ekki yfir 50 bita, þá mun stjórnin líta svona út:
sudo tcpdump -i ppp0 minna 50
Dæmi:
Nú skulum skila inn "Terminal" pakkningar stærri en 50 bita:
sudo tcpdump -i ppp0 meiri 50
Dæmi:
Eins og þú sérð eru þau notuð jafnt, eina munurinn er í nafni síunnar.
Niðurstaða
Í lok greinarinnar getum við ályktað að liðið tcpdump - Þetta er frábært tól sem hægt er að fylgjast með með hvaða gagnapakki sem er send á Netinu. En fyrir þetta er ekki nóg til að komast inn í stjórnina sjálft inn í "Terminal". Til að ná tilætluðum árangri verður aðeins að finna ef þú notar alls konar valkosti og síur, auk samsetningar þeirra.
