Kuidas jäädvustada ja analüüsida pakette näite abil Tcpdumpiga

Selles juhendis näitame, kuidas installida tcpdump Linuxi süsteemi ning kuidas tcpdumpi abil TCP/IP-pakette jäädvustada ja analüüsida.

Kuidas installida Tcpdump

Tcpdump on eelinstallitud paljudele Linuxi distributsioonidele. Kuid kui see pole teie süsteemi veel installitud, saate installida tcpdump oma Linuxi süsteemi. Rakenduse tcpdump installimiseks Ubuntu 22.04 süsteemi kasutage järgmist käsku:

Tcpdumpi installimiseks Fedora/CentOS-i kasutage järgmist käsku:

Kuidas jäädvustada pakette käsuga Tcpdump

Pakettide hõivamiseks tcpdumpiga käivitage terminal sudo privileegidega, kasutades 'Ctrl+Alt+t'. See tööriist sisaldab erinevaid suvandeid ja filtreid TCP/IP-pakettide hõivamiseks. Kui soovite jäädvustada kõik praeguse või vaikevõrguliidese voolavad paketid, kasutage käsku 'tcpdump' ilma ühegi valikuta.

Antud käsk hõivab teie süsteemi vaikimisi võrguliidese paketid.

Selle käsu täitmise lõpus kuvatakse terminalis kõik püütud ja filtreeritud pakettide arvud.

Mõistame väljundit.

Tcpdump võimaldab analüüsida TCP/IP-paketi päiseid. See näitab iga paketi jaoks ühte rida ja käsk jätkab töötamist, kuni vajutate selle peatamiseks klahvikombinatsiooni Ctrl+C.

Iga tcpdumpi rida sisaldab järgmisi üksikasju:

• Unixi ajatempel (nt 02:28:57.839523)
• Protokoll (IP)
• Allika hostinimi või IP ja pordi number
• Sihtkoha hostinimi või IP ja pordi number
• TCP lipud (nt lipud [F.]), mis näitavad ühenduse olekut selliste väärtustega nagu S (SYN), F (FIN),. (ACK), P (PUSH), R (RST)
• Paketis olevate andmete järjenumber (nt järg 5829:6820)
• Kinnitusnumber (nt ack 1016)
• Akna suurus (nt win 65535), mis tähistab vastuvõtupuhvris saadaolevaid baite, millele järgneb TCP suvandid
• Andmemahu pikkus (nt pikkus 991)

Kõigi oma süsteemi võrguliideste loendi kuvamiseks kasutage käsku 'tcpdump' koos valikuga '-D'.

või

See käsk loetleb kõik võrguliidesed, mis on ühendatud või töötavad teie Linuxi süsteemis.

Jäädvustage määratud võrguliidese paketid

Kui soovite jäädvustada konkreetset liidest läbivaid TCP/IP-pakette, kasutage lippu '-i' koos käsuga 'tcpdump' ja määrake võrguliidese nimi.

Antud käsk fikseerib liikluse 'lo' liideses. Kui soovite kuvada üksikasjalikku või üksikasjalikku teavet paketi kohta, kasutage lippu '-v'. Põhjalikumate üksikasjade printimiseks kasutage lippu '-vv' koos käsuga 'tcpdump'. Regulaarne kasutamine ja analüüs aitavad kaasa tugeva ja turvalise võrgukeskkonna säilitamisele.

Samamoodi saate liiklust jäädvustada mis tahes liideses, kasutades järgmist käsku:

Püüdke paketid kindla pordi abil

Saate jäädvustada ja filtreerida pakette, määrates liidese nime ja pordi numbri. Näiteks pordi 22 abil liidest „enp0s3” läbivate võrgupakettide hõivamiseks kasutage järgmist käsku:

Eelmine käsk jäädvustab kõik liidese 'enp0s3' voolavad paketid.

Jäädvustage piiratud paketid rakendusega Tcpdump

Määratud arvu pakettide hõivamiseks saate kasutada lippu '-c' koos käsuga 'tcpdump'. Näiteks nelja paketi hõivamiseks liideses 'enp0s3', kasutage järgmist käsku:

Asendage liidese nimi oma süsteemi abil.

Kasulikud Tcpdump käsud võrguliikluse hõivamiseks

Järgnevalt loetlesime mõned kasulikud 'tcpdump' käsud, mis aitavad teil võrguliiklust või pakette tõhusalt hõivata ja filtreerida.

Kasutades käsku 'tcpdump', saate jäädvustada määratud sihtkoha IP- või lähte-IP-ga liidese pakette.

Saate jäädvustada pakette hetktõmmise suurusega 65535 baiti, mis erineb vaikesuurusest 262144 baiti. Tcpdumpi vanemates versioonides oli jäädvustamise suurus piiratud 68 või 96 baidiga.

Kuidas salvestada püütud paketid faili

Kui soovite salvestatud andmed edasiseks analüüsiks faili salvestada, saate seda teha. See salvestab liikluse kindlaksmääratud liideses ja salvestab selle seejärel .pcap-faili. Jäädvustatud andmete faili salvestamiseks kasutage järgmist käsku: