Хэрэв та Linux дээр сүлжээний пакетыг шинжлэх эсвэл таслах шаардлагатай бол консолийн хэрэгслийг ашиглах нь дээр tcpdumpБайна. Гэвч асуудал нь түүний нэлээд төвөгтэй менежментэд үүсдэг. Хэрэглээтэй ажиллахад тохиромжгүй гэсэн дундаж хэрэглэгчид санагдах болно, гэхдээ энэ нь зөвхөн харахад л болно. Энэ нийтлэлд tcpdump хэрхэн ажилладаг, ямар синтакситэй, түүнийг хэрхэн ашиглаж болох, ашиглах олон жишээг тайлбарлах болно.
Мөн үзнэ үү: Ubuntu, Debian, Ubuntu Server дээр интернет холболт хийх удирдамж
Суурилуулалт
Линукс дээр суурилсан үйлдлийн системүүдийн ихэнх хөгжүүлэгчид tcpdump хэрэгслийг урьдчилан суулгасан жагсаалтад багтаасан байдаг боловч хэрэв энэ нь таны тархалтад ороогүй бол та үргэлж татаж аваад суулгаж болно. "Терминал"Байна. Хэрэв таны OS Debian дээр суурилсан бөгөөд эдгээр нь Ubuntu, Linux Mint, Kali Linux гэх мэт бол та энэ тушаалыг ажиллуулах хэрэгтэй.
sudo apt суулгах tcpdump
Суулгаж байхдаа нууц үгээ оруулах шаардлагатай. Залгах үед энэ нь харагдахгүй бөгөөд таны оруулах шаардлагатай тохиргоог баталгаажуулахыг анхаарна уу Д. дээр дарна уу Оруулна уу.
Хэрэв танд Red Hat, Fedora эсвэл CentOS байгаа бол суулгах команд дараах байдлаар харагдах болно.
sudo yam суулгах tcpdump
Хэрэгслийг суулгасны дараа шууд ашиглах боломжтой. Энэ болон бусад зүйлийг дараа нь текстээр авч үзэх болно.
Мөн үзнэ үү: Ubuntu сервер дээрх PHP суулгах гарын авлага
Синтакс
Бусад командын нэгэн адил tcpdump нь өөрийн синтакситэй байдаг. Түүнийг мэдэж байгаа тул та тушаал гүйцэтгэх үед харгалзах шаардлагатай бүх параметрүүдийг тохируулж болно. Синтаксис дараах байдалтай байна.
tcpdump options -i интерфейсийн шүүлтүүрүүд
Командыг ашиглахдаа та хянах интерфэйсийг зааж өгөх ёстой. Шүүлтүүр ба сонголтууд нь нэмэлт хувьсагчид боловч илүү уян хатан хувийн тохиргоог хийх боломжийг олгодог.
Сонголтууд
Хэдийгээр сонголтыг зааж өгөх шаардлагагүй ч боломжтой хувилбаруудыг жагсаах хэрэгтэй. Хүснэгт нь тэдний жагсаалтыг бүхэлд нь харуулдаггүй, зөвхөн хамгийн алдартай нь боловч ихэнх ажлыг шийдвэрлэхэд хангалттай байдаг.
| Сонголт | Тодорхойлолт |
|---|---|
| -А | Багцуудыг ASCII форматаар эрэмбэлэх боломжийг танд олгоно |
| -л | Гүйлгэх функцийг нэмнэ. |
| -i | Орсны дараа та хянах болно интерфэйсийг зааж өгөх хэрэгтэй. Бүх интерфейсийг хянаж эхлэхийн тулд сонголтын дараа "ямар ч" гэсэн үгийг оруулна уу |
| -c | Тодорхой тооны багцыг шалгасны дараа хянах явцыг дуусгана |
| -в | Баталгаажуулалтын тайлан бүхий текст файл үүсгэдэг |
| -э | Дата холболтын интернет холболтын түвшинг харуулна |
| -Л | Зөвхөн заасан сүлжээний интерфейс дэмждэг протоколуудыг харуулна. |
| -С | Багцыг бичлэг хийх явцад хэмжээ нь заасан хэмжээнээс том байвал өөр файл үүсгэнэ |
| -р | -W сонголтыг ашиглан үүсгэсэн уншсан файлыг нээнэ |
| -ж | Пакистуудыг бүртгэхэд TimeStamp форматыг ашиглана |
| -Ж | Бүх боломжит TimeStamp форматыг харах боломжийг танд олгоно |
| -Г | Бүртгэлийн файл үүсгэхэд үйлчилнэ. Сонголт нь түр зуурын утгыг шаарддаг бөгөөд үүний дараа шинэ бүртгэл үүсгэх болно |
| -v, -vv, -vvv | Сонголт дахь тэмдэгтүүдийн тооноос хамааран командын гаралт илүү нарийвчлалтай болно (өсөлт нь тэмдэгтүүдийн тооноос шууд пропорциональ болно) |
| -f | Гаралт нь IP хаягуудын домэйн нэрийг харуулж байна |
| -F | Сүлжээний интерфейсээс бус, заасан файлаас мэдээлэл уншихыг зөвшөөрдөг |
| -Д | Ашиглаж болох бүх сүлжээний интерфейсийг харуулна. |
| -n | Домэйн нэр харуулахыг идэвхгүй болгох |
| -З | Бүх хэрэглэгчийн дансанд данс үүсгэнэ. |
| -К | Шалгалтын дүн шинжилгээг алгасах |
| -q | Үзүүлэнгийн хураангуй |
| -Х | 802.11s толгойнуудыг илрүүлдэг |
| -Би | Хяналтын горимд пакет барих үед ашиглагддаг |
Сонголтуудыг судалсны дараа бага зэрэг бид тэдгээрийн хэрэглээнд шууд очих болно. Энэ хооронд шүүлтүүрийг авч үзэх болно.
Шүүлтүүрүүд
Өгүүллийн эхэнд дурдсанчлан, та tcpdump синтакс дээр шүүлтүүр нэмж болно. Одоо тэдний хамгийн алдартай нь дараахь зүйлийг авч үзэх болно.
| Шүүлт хийх | Тодорхойлолт |
|---|---|
| хост | Хост нэрийг зааж өгнө |
| цэвэр | IP дэд сүлжээ, сүлжээг заана |
| ip | Протоколын хаягийг заана |
| src | Заасан хаягаас илгээсэн пакетуудыг харуулна |
| dst | Заасан хаягаар хүлээн авсан пакетуудыг харуулна |
| arp, udp, tcp гэх мэт | Протоколын аль нэгээр нь шүүх |
| боомт | Тодорхой порттой холбоотой мэдээллийг харуулна |
| болон, эсвэл | Команд хэд хэдэн шүүлтүүрийг нэгтгэдэг. |
| бага | Гаралтын багц нь тогтоосон хэмжээнээс бага эсвэл том байна |
Дээрх бүх шүүлтүүрүүдийг хооронд нь нэгтгэж болох тул тушаал өгөхөд та зөвхөн харахыг хүссэн мэдээллийг харах боломжтой болно. Дээрх шүүлтүүрүүдийн хэрэглээг илүү нарийвчлан ойлгохын тулд жишээ өгөх нь зүйтэй.
Мөн үзнэ үү: Linux Terminal-д байнга ашиглагддаг командууд
Хэрэглээний жишээ
Tcpdump коммандын байнга ашигладаг синтаксийн сонголтыг одоо харуулах болно. Хязгааргүй олон тооны өөрчлөлтүүд байж болох тул бүгдийг нь жагсаах боломжгүй.
Интерфейсийн жагсаалтыг харах
Хэрэглэгч бүрийг өөрийн сүлжээний бүх интерфэйсийн жагсаалтыг шалгаж өгөхийг зөвлөж байна. Дээрх хүснэгтээс харахад та энэ сонголтыг ашиглах хэрэгтэй гэдгийг бид мэднэ -Д, иймээс терминал дээр дараах тушаалыг ажиллуулна уу.
sudo tcpdump -D
Жишээ нь:
Таны харж байгаагаар жишээ нь tcpdump командыг ашиглан үзэх боломжтой найман интерфэйстэй. Энэ нийтлэлд жишээг өгөх болно ppp0Та өөр ямар ч зүйлийг ашиглаж болно.
Замын хөдөлгөөний хэвийн хэмжээ
Хэрэв та нэг сүлжээний интерфейсийг хянах шаардлагатай бол та үүнийг ашиглан тохиргоог хийж болно -iБайна. Орсоны дараа интерфэйсийн нэрийг оруулахаа бүү мартаарай. Ийм тушаалын жишээ энд байна.
sudo tcpdump -i ppp0
Анхаарна уу: тушаалаас өмнө та "sudo" оруулах хэрэгтэй, учир нь энэ нь супер хэрэглэгчийн эрхийг шаарддаг.
Жишээ нь:
Тэмдэглэл: Enter товчлуурыг "Terminal" товчийг дарсны дараа тасалдуулсан багцууд тасралтгүй гарч ирнэ. Тэдгээрийн урсгалыг зогсоохын тулд та Ctrl + C товчлуурын хослолыг дарах хэрэгтэй.
Хэрэв та нэмэлт сонголт, шүүлтүүргүйгээр командыг гүйцэтгвэл хяналт бүхий пакетуудыг харуулах дараах хэлбэрийг харах болно.
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: тугууд [P.], seq 1: 595, akk 1118, 6494, сонголтууд [nop, nop, TS val 257060077 ecr 697597623], урт нь 594
Өнгийг тодруулсан газар:
- цэнхэр - багцыг хүлээн авах хугацаа;
- улбар шар - протоколын хувилбар;
- ногоон - илгээгчийн хаяг;
- нил ягаан - хүлээн авагчийн хаяг;
- саарал - tcp-ийн тухай нэмэлт мэдээлэл;
- улаан - пакет хэмжээ (байтаар харуулсан).
Энэ синтакс нь цонхонд харуулах чадвартай. "Терминал" нэмэлт сонголтыг ашиглахгүйгээр.
-V сонголтоор замын хөдөлгөөний зураг авах
Хүснэгтээс мэдэгдэж байгаагаар сонголт -v мэдээллийн хэмжээг нэмэгдүүлэх боломжийг танд олгоно. Нэг жишээ татъя. Ижил интерфейсийг шалгана уу:
sudo tcpdump -v -i ppp0
Жишээ нь:
Эндээс дараах мөр гарч ирснийг харж болно.
IP (to 0x0, ttl 58, id 30675, офсет 0, тугнууд [DF], proto TCP (6), урт 52)
Өнгийг тодруулсан газар:
- улбар шар - протоколын хувилбар;
- цэнхэр - протоколын ашиглалтын хугацаа;
- ногоон - талбайн толгойн урт;
- нил ягаан - tcp багц хувилбар;
- улаан - пакет хэмжээ.
Командын синтакс дээр та сонголт бичиж болно -vv эсвэл -vvv, энэ нь цаашид дэлгэцэн дээр гарч ирэх мэдээллийн хэмжээг нэмэгдүүлэх болно.
Сонголт -w ба -r
Сонголтын хүснэгт нь бүх үр дүнг тусдаа файлд хадгалах боломжийг дурьдсан бөгөөд ингэснээр дараа нь үзэх боломжтой болно. Сонголт нь үүнийг хариуцдаг. -вБайна. Үүнийг ашиглах нь маш энгийн бөгөөд үүнийг зөвхөн тушаалаар зааж өгөөд дараа нь файлын хамт өргөтгөлийг оруулна уу ".pcap"Байна. Нэг жишээ харцгаая.
sudo tcpdump -i ppp0 -w файл.pcap
Жишээ нь:
Анхаарна уу: файл руу лог бичихдээ "Terminal" дэлгэц дээр ямар ч текст гарч ирэхгүй.
Бичсэн үр дүнг харахыг хүсвэл сонголтыг ашиглах ёстой -р, үүний дараа өмнө бичигдсэн файлын нэрийг бичнэ. Үүнийг бусад сонголт болон шүүлтүүргүйгээр ашигладаг:
sudo tcpdump -r файл.pcap
Жишээ нь:
Дараа нь задлан шинжлэхэд их хэмжээний текст хадгалах шаардлагатай байгаа тохиолдолд эдгээр хоёр сонголт хоёулаа сайн байна.
IP шүүх
Шүүлтүүрийн хүснэгтээс бид үүнийг мэднэ dst консолын дэлгэц дээр зөвхөн командын синтаксэд заасан хаягаар хүлээн авсан багцуудыг харуулах боломжийг танд олгоно. Тиймээс компьютер дээрээ хүлээн авсан пакетуудыг харахад маш тохиромжтой. Үүнийг хийхийн тулд баг нь зөвхөн IP хаягаа зааж өгөх хэрэгтэй.
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Жишээ нь:
Таны харж байгаагаар гадна dst, мөн бид багт шүүлтүүрийг бүртгэсэн ipБайна. Өөрөөр хэлбэл бид пакет сонгохдоо бусад параметрүүдэд биш харин IP хаягаар нь анхаарч ажиллана гэж компьютерт хэлсэн.
IP-ээр дамжуулан та гарч буй багцуудыг шүүж болно. Бид жишээн дээрээ IP-гээ дахин өгөх болно. Энэ нь одоо бид аль пакетыг компьютерээсээ бусад хаяг руу илгээдэгийг хянах болно. Үүнийг хийхийн тулд дараах тушаалыг ажиллуулна уу.
sudo tcpdump -i ppp0 ip src 10.0.6.67
Жишээ нь:
Таны харж байгаагаар командын синтакс дээр бид шүүлтүүрийг өөрчилсөн dst асаалттай байх хэрэгтэй src, ингэснээр машинд IP-ээр дамжуулагчийг хайж олохыг мэдэгдэв.
HOST шүүх
Команд байгаа IP-тэй аналог байдлаар бид шүүлтүүрийг зааж өгч болно хостбагцыг сонирхож буй үйлчлүүлэгчтэй шүүх. Энэ нь синтакс дээр илгээгч / хүлээн авагчийн IP хаягийн оронд та хостоо зааж өгөх хэрэгтэй болно. Энэ мэт харагдаж байна.
sudo tcpdump -i ppp0 dst хост google-public-dns-a.google.com
Жишээ нь:
Зурган дээрээс та үүнийг харж болно "Терминал" зөвхөн IP хаягаас google.com хост руу илгээсэн пакетуудыг харуул. Та ойлгож байгаагаар google хостын оронд өөр ямар ч зүйлийг оруулах боломжтой.
IP шүүлтүүрийн нэгэн адил синтакс dst сольж болно srcТаны компьютерт илгээгдсэн багцуудыг харахын тулд:
sudo tcpdump -i ppp0 src хост google-public-dns-a.google.com
Тэмдэглэл: хост шүүлтүүр нь dst эсвэл src-ийн дараа байх ёстой, эс тэгвэл комманд алдаа гаргана. IP-ээр шүүлтүүр хийх тохиолдолд, эсрэгээр, dst ба src нь IP шүүлтүүрийн өмнө байна.
Ба шүүлтүүрийг ашиглах
Хэрэв та нэг комманд хэд хэдэн шүүлтүүр ашиглах шаардлагатай бол шүүлтүүр хэрэглэх хэрэгтэй ба эсвэл эсвэл (тохиолдлоос хамаарна). Синтаксийн шүүлтүүрийг тодорхойлж, эдгээр операторуудтай салгаснаар та тэдгээрийг нэг болгож ажиллах болно. Жишээлбэл, дараах байдалтай байна.
sudo tcpdump -i ppp0 ip dst 95.47.144.254 эсвэл ip src 95.47.144.254
Жишээ нь:
Командын синтакс нь бидний харуулахыг хүссэн зүйлийг харуулдаг "Терминал" 95.47.144.254 хаяг руу илгээсэн бүх багцууд болон ижил хаягаар хүлээн авсан багцууд. Та мөн энэ илэрхийлэлд зарим хувьсагчийг өөрчилж болно. Жишээлбэл, IP-ийн оронд HOST-ыг зааж өгөх эсвэл хаягийг нь шууд сольж оруулна уу.
Порт ба портрейн шүүлтүүр
Шүүлт хийх боомт тодорхой порт бүхий багцын талаар мэдээлэл авах шаардлагатай тохиолдолд төгс төгөлдөр юм. Тиймээс, хэрэв та зөвхөн хариултууд эсвэл DNS асуултуудыг харах шаардлагатай бол та 53 портийг зааж өгөх хэрэгтэй.
sudo tcpdump -vv -i ppp0 порт 53
Жишээ нь:
Хэрэв та http пакетуудыг үзэхийг хүсч байвал 80 порт оруулах шаардлагатай:
sudo tcpdump -vv -i ppp0 порт 80
Жишээ нь:
Үүнээс гадна боомтын хүрээг нэн даруй хянах боломжтой болно. Үүнд шүүлтүүрийг ашиглана. хөргөх:
sudo tcpdump нь 50-80-ыг хөрвүүлдэг
Таны харж байгаагаар шүүлтүүрийн дагуу хөргөх нэмэлт сонголтууд шаардлагатай. Зүгээр л хүрээг тохируулна уу.
Протоколын шүүлтүүр
Та зөвхөн ямар ч протоколд нийцсэн траффикийг үзүүлэх боломжтой. Үүнийг хийхийн тулд энэ протоколын нэрийг шүүлтүүр болгон ашиглана уу. Нэг жишээ харцгаая ххх:
sudo tcpdump -vvv -i ppp0 udp байна
Жишээ нь:
Зурган дээр харж байгаагаар in командыг гүйцэтгэсний дараа "Терминал" зөвхөн протокол бүхий пакетуудыг харуулсан хххБайна. Үүний дагуу, та бусдыг шүүж болно, жишээ нь арп:
sudo tcpdump -vvv -i ppp0 arp
эсвэл т.к.:
sudo tcpdump -vvv -i ppp0 tcp
Цэвэр шүүлтүүр
Оператор цэвэр пакетуудыг сүлжээний тэмдэглэгээнд үндэслэн шүүлтүүр хийхэд тусалдаг. Үүнийг ашиглах нь бусадтай адил хялбар байдаг - та синтакс дээр шинж чанарыг зааж өгөх хэрэгтэй цэвэр, дараа нь сүлжээний хаягийг оруулна уу. Ийм тушаалын жишээ энд байна.
sudo tcpdump -i ppp0 net 192.168.1.1
Жишээ нь:
Багц хэмжээтэй шүүлтүүр
Бид өөр хоёр сонирхолтой шүүлтүүрийг авч үзээгүй болно. бага ба ихБайна. Шүүлтүүрүүдтэй хүснэгтээс бид өгөгдлийн багцыг илүү үр дүнтэй гаргахад ашигладаг болохыг бид мэднэ.бага) болон түүнээс бага (их) шинж чанарыг оруулсны дараа заасан хэмжээ.
Хэрэв бид зөвхөн 50 битийн тэмдэгээс хэтрэхгүй пакетуудыг хянаад үзье гэж бодъё, тушаал нь дараах байдалтай байна.
sudo tcpdump -i ppp0 50-аас бага
Жишээ нь:
Одоо үзье "Терминал" 50 битээс их хэмжээтэй багц:
sudo tcpdump -i ppp0-ээс их 50
Жишээ нь:
Таны харж байгаагаар тэдгээрийг ижил байдлаар хэрэглэвэл ялгаа нь шүүлтүүрийн нэр дээр л байдаг.
Дүгнэлт
Өгүүллийн төгсгөлд бид баг гэж дүгнэж болно tcpdump - Энэ бол интернетээр дамжуулсан аливаа мэдээллийн багцыг хянах маш сайн хэрэгсэл юм. Гэхдээ энэ нь зөвхөн өөрөө тушаалд нэвтрэхэд хангалтгүй юм "Терминал"Байна. Хүссэн үр дүнг та бүх төрлийн сонголт, шүүлтүүр, түүнчлэн тэдгээрийн хослолыг ашиглах тохиолдолд л авах болно.
