Heke hûn hewce ne ku pakêtên torê yên li Linux analîz bikin, çêtirîn e ku ji bo vê yekê amûrek konsolê bikar bînin. Tcpdump. . Lê pirsgirêk di rêveberiya berbiçav de çêdibe. Bikarhênerek gelemperî dê xuya bike ku bi karanîna utility acizker re bixebite, lê ew tenê di çavê yekem de ye. Gotar dê were diyar kirin ka TCPDUMP çawa tê saz kirin, kîjan syntax wê heye, ka wê çawa bikar bîne, û gelek nimûneyên karanîna wê dê werin pêşkêş kirin.
Di heman demê de bixwînin: Manuals Setup Internetnternet Li Ubuntu, Debian, Server Ubuntu
Lêkirinî
Piraniya pêşdebirên pergalên xebitandinê yên Linux di navnîşa pêş-sazkirî de tê de hene, lê heke ji ber hin sedeman di belavkirina we de winda ye, hûn her gav wê bi termînalê dakêşin û saz bikin. Ger OS-ya we li ser debian e, û ev Ubuntu, Linux Mint, Kali Linux û mîna wan e, hûn hewce ne ku vê fermanê bicîh bînin:Sudo apt tcpdump saz bikin
Dema ku hûn saz bikin, hûn hewce ne ku şîfreyek têkevin. Ji kerema xwe gava ku ew nayê xuyang kirin, ew nayê xuyang kirin, di heman demê de piştrastkirina sazkirinê ya ku hûn hewce ne ku sembola "D" binivîse û Enter binivîse.
Ger we hatê sor, fedora an centos hebe, wê hingê tîmê sazkirinê dê forma jêrîn hebe:
Sudo yam tcpdump saz bikin
Piştî ku amûr hate saz kirin, ew dikare tavilê bikar bîne. Li ser vê yekê û gelek tiştên din dê li ser nivîsê werin vegotin.
Di heman demê de bixwînin: Rêbernameya sazkirina PHP-ê di servera Ubuntu de
Syntex
Mîna her fermanek din, TCPDUMP syntaxê xwe heye. Zanîna wê, hûn dikarin hemî parametreyên pêwîst ên ku dê di dema bicihanîna fermanê de bêne girtin. Syntax wiha ye:
Vebijarkên TCPDUPP -i navbeynê filter
Dema ku emrê bikar bînin, divê hûn ji bo şopandinê navgîniyê diyar bikin. Filters û vebijark ne guherbarên mecbûrî ne, lê ew dihêlin hûn mîhengên maqûltir pêk bînin.
Vebijarkên
Qet nebe vebijarkî ne hewce ye ku nîşan bide, hûn hîn jî hewce ne ku navnîş bikin. Tabloya hemî navnîşa xwe nîşan nedan, lê tenê ya herî populer, lê ew ji wan pirtir in ku piraniya peywiran çareser bikin.| Dibe | Binavî |
|---|---|
| -YEK. | Destûrê dide we ku hûn bi forma Ascii pakêtan bikin |
| -L. | Fonksiyonek scroll zêde dike |
| -EZ. | Piştî ketina, hûn hewce ne ku têkiliya torê diyar bikin ku dê were şopandin. Ji bo ku dest bi şopandina hemî navbeynkaran bikin, piştî vebijarkê peyva "her" binivîse. |
| -C. | Pêvajoya şopandinê piştî kontrolkirina hejmarê diyarkirî ya pakêtan temam dike |
| -w. | Pelê nivîsê bi rapora verastkirinê çêdike |
| -E. | Asta pakêta girêdana înternetê nîşan dide |
| -L. | Tenê wan protokolên ku piştgiriyê didin navbeynkariya torê ya diyarkirî |
| -C. | Heke pîvana wê ji diyarkirî mezintir e, pelek din diafirîne |
| -R. | Pelê xwendinê ya ku bi karanîna vebijarka -w ve hatî afirandin vedike. |
| -J. | Formata Timestamp dê ji bo tomarkirina pakêtan were bikar anîn |
| -J. | Destûrê dide we ku hûn hemî formên demjimêr ên heyî bibînin. |
| -G. | Ji bo çêkirina pelê bi têketinê ve hatî bikar anîn. Vebijêrk jî hewce dike ku rêwerzên nirxa demê, piştî ku têketinek nû were afirandin. |
| -V, -vv, -vvv | Li gorî hejmara tîpên di vebijarkê de girêdayî ye, derketina fermanê dê hûrgulî be (zêdebûn rasterast bi hejmara tîpan) |
| -f. | Di derketinê de navê Domain Navnîşana IP-ê destnîşan dike |
| -F. | Destûrê dide we ku hûn agahdariya ji navbeynkariya torê ne bixwînin, lê ji pelê diyarkirî |
| -D. | Hemî navbeynên torê yên ku dikarin bikar bînin nîşan dide |
| -N. | Dîmendera navên domainê kêm dike |
| -Z. | Bikarhênerê di bin hesabê ku hemî pelan dê were afirandin diyar dike. |
| -K. | Analîzên Testê Skip |
| -Q. | Xwepêşandana agahdariya kurt |
| -H. | Destûrê dide we ku serokên 802.11s tespît bikin |
| -EZ. | Dema ku hûn pakêtên di moda çavdêriyê de hatine bikar anîn bikar anîn |
Piştî hilweşandina vebijarkan, tenê li jêr em rasterast li ser serlêdanên wan dimeşin. Di vê navberê de, fîlter dê bêne hesibandin.
Filter
Wekî ku di destpêka gotarê de tête diyar kirin, hûn dikarin fîlteran li Syntax TCPDUPP zêde bikin. Naha dê herî populer were hesibandin:
| Parzûn | Binavî |
|---|---|
| Mazûban. | Xizmet dike ku navê mêvandar nîşan bide |
| tor. | Subnet û Torgilokê destnîşan dike |
| IP. | Ji bo destnîşankirina navnîşa protokolê tê bikar anîn |
| Src | Pakêtên ku ji navnîşa diyarkirî hatine şandin nîşan dide. |
| Dst | Pakêtên ku ji hêla navnîşa diyarkirî ve hatine wergirtin nîşan dide. |
| ARP, UDP, TCP | Filtration ji hêla yek ji protokolan ve |
| Bender. | Agahdariya têkildar bi portek taybetî nîşan dide |
| û, an | Xizmet dike ku fîlterên pirjimar di tîmê de bihevre bike |
| kêmtir, mezintir | Derketina pakêtê kêm an jî mezinahiya diyarkirî |
Hemî fîlterên jorîn dikarin bi hevûdu re bêne hev kirin, ji ber vê yekê di belavkirina fermanê de hûn ê tenê agahdariya ku hûn dixwazin bibînin bibînin. Ji bo ku hûn di karanîna fîlterên jorîn de hûrgulî fêm bikin, ew hêja nimûneyên pêşeng e.
Her weha binihêrin: Fermandarên bi gelemperî di Linuxê Termînalê de têne bikar anîn
Nimûneyên karanîna
Bi gelemperî vebijarkên syntax ên TCPDUPP-ê têne bikar anîn êdî dê werin nîşandan. Ew ê ne gengaz be ku wan navnîş bikin, ji ber ku guhertinên wan dikarin bibin setek bêhempa.Navnîşa navbeynê binihêrin
Tête pêşniyar kirin ku di destpêkê de navnîşa hemî navbeynkariya torê ya xwe ya ku dikare were şopandin kontrol bike. Ji maseya jorîn, em dizanin ku ji bo vê yekê hûn hewce ne ku vebijarka -d bikar bînin, wusa di termînalê de, fermana jêrîn bisekinin:
Sudo tcpdump -d.
Mînak:
Wekî ku hûn dikarin fêr bibin, di mînakê de heşt interfaces hene ku dikarin bi karanîna fermanê TCPDUMP werin dîtin. Gotar dê bi PPP0 re mînak were dayîn, hûn dikarin yekê din bikar bînin.
Girtina trafîkê ya normal
Heke hûn hewce ne ku yek navberek torê bişopînin, hûn dikarin vê yekê bi karanîna vebijarka -i bikin. Ji bîr nekin ku piştî ku têkevin nav navê navbeynê binivîse. Li vir mînakek darvekirina tîmek wusa ye:
Sudo tcpdump -i ppp0
Ji kerema xwe: Li pêşberî fermanê bixwe hûn hewce ne ku "sudo" binivîse, ji ber ku ew mafê superuser hewce dike.
Mînak:
Nîşe: Piştî zextê li "termînalê" têkeve, pakêtên hatine qewirandin dê bi domdarî. Ji bo rawestandina stûyê xwe, hûn hewce ne ku hûn tevliheviya kilîta CTRL + C zext bikin.
Heke hûn fermanek bêyî vebijarkên zêde û fîlteran darve bikin, hûn ê ji bo pakêtên çavdêriyê forma jêrîn a jêrîn bibînin:
22: 18: 52.597573 IP VRRP-Top.P.Rail.Ru.RuT.6.67.35482: SEQ 1: 595, ACK 1118, Win 6494, Vebijarkên [NOP, NOP, TS Val 257060077 ECR 697597623], Length 594
Cihê ku reng tê veqetandin:
- şîn - dema wergirtina pakêtê;
- Orange - guhertoya protokola;
- Kesk - Navnîşa Sender;
- Navnîşa Purple - Navnîşa wergir;
- Grey - Agahdariya zêde di derbarê TCP de;
- Sor - Mezinahiya pakêtê (di bytes de hatî xuyang kirin).
Vê syntax xwedan karanîna di pencereya "Termînalê" de bêyî ku vebijarkên zêde bikar bîne.
Girtina trafîkê bi vebijarka -v
Gava ku hûn ji sifrê dizanin, vebijarka -v dihêle ku hûn agahdariya zêde zêde bikin. Em ê li ser mînakê analîz bikin. Heman têkiliyê kontrol bikin:
Sudo tcpdump -v -i ppp0
Mînak:
Li vir hûn dikarin bibînin ku xeta din di encamê de xuya bû:
IP (TOS 0X0, TTL 58, ID 30675, Offset 0, alên [DF], Proto TCP (6), Dirêj 52
Cihê ku reng tê veqetandin:
- Orange - guhertoya protokola;
- şîn - jiyana protokola;
- Green - Dirêjahiya Header Field;
- Purple - guhertoya pakêta TCP;
- Sor - mezinahiya pakêtê.
Di heman demê de di syntaxê fermanê de hûn dikarin vebijarka -vv an -vvv diyar bikin, ku dê dihêle hûn ê bêtir agahiyên ku li ser ekranê têne xuyang kirin zêde bikin.
Vebijêrk -w û -r
Tabloya vebijarkê behs kir ku meriv hemî daneyên nû yên li pelê veqetandî li pelê veqetandî nîşan bide. Ji bo vê yekê bi vebijarka -w re têkildar e. Pir hêsan e ku meriv wê bikar bîne, tenê wê bi fermanê binivîse, û dûv re navê pelê pêşerojê bi dirêjkirina ".pcap" binivîse. Hemî mînakan bifikirin:
Sudo tcpdump -i ppp0 -w file.pcap
Mînak:
Ji kerema xwe: Di dema tomarê de pelê li ser dîmendera "Termînalê" tomar dike, bê nivîs nayê xuyang kirin.
Dema ku hûn dixwazin hilberîna tomarkirinê bibînin, divê hûn vebijarka -r bikar bînin, piştî ku hûn navê pelê ya berê tomar bikin. Ew bêyî vebijarkên din û fîlterên din pêk tê:
Sudo tcpdump -r file.pcap
Mînak:
Van her du vebijarkan bi rengek bêkêmasî di rewşên ku hûn hewce ne ku ji bo parsingên paşîn biparêzin, ji bo ku hûn pêdivî ye ku hûn nexşeyên mezin ên nivîsê hilînin.
Filterkirina IP.
Ji maseya filterê, em dizanin ku DS destûrê dide we ku hûn tenê van pakêtên ku ji hêla navnîşê ve hatine wergirtin di Syntax Fermandariyê de têne destnîşankirin. Bi vî rengî, pir rehet e ku hûn pakêtên ku ji hêla komputera we ve hatine wergirtin bibînin. Da ku vê yekê bikin, di emrê ku hûn tenê hewce ne ku navnîşana IP-ya xwe diyar bikin:
Sudo tcpdump -i ppp0 IP 10.0.6.67
Mînak:
Wekî ku hûn dikarin bibînin, ji bilî DST, me jî fîltera IP-ê jî diyar kir. Bi gotinên din, me ji komputerê re got da ku dema hilbijartina pakêtan, wî bala xwe da navnîşana IP-ya xwe, û ne ji parameterên din re.
IP dikare pakêtan were fîlkirin û şandin. Di mînakê de, em ê IP-ya xwe dîsa bidin. Ango, naha em şopandin kîjan pakêt ji komputera me ji navnîşanên din têne dûr kirin. Ji bo vê yekê, hûn hewce ne ku emrê jêrîn darve bikin:
Sudo TCPDUMP -i PPP0 IP SRC 10.0.6.67
Mînak:
Wekî ku hûn dikarin bibînin, di syntax fermanê de, me filtera DST-ê li ser SRC guherand, bi vî rengî ji otomobîlê re vedibêje ku ji hêla IP-ê ve lêgerînê bigere.
Filterkirina mêvandar
Ji hêla IP-ê ve di tîmê de bi IP-ê ve, em dikarin filterê mêvandariyê destnîşan bikin ku pakêtên bi mêvandariya mêvandariyê re bişînin. Ango, di syntax de, li şûna navnîşana IP ya sender / wergir, ew ê hewce be ku mêvandarê xwe destnîşan bike. Wusa dixuye:
Sudo tcpdump -i ppp0 dst host Google-Publ-Dns-a.google.Com
Mînak:
Di wêneyê de hûn dikarin bibînin ku tenê ew pakêtên ku ji IP-ya me hatine şandin Google.com di termînalê de têne xuyang kirin. Ez çawa dikarim fêm bikim, li şûna google mêvandar, hûn dikarin têkevinê yekî din.
Wekî ku di doza IP-ê de, di syntaxê DST de, hûn dikarin SRC biguhezînin da ku pakêtên ku ji komputera we re hatine şandin bibînin:
Sudo tcpdump -i ppp0 src host Google-Public-Dns-a.google.com
Nîşe: Filterê mêvandar divê piştî DST an SRC bisekinin, wekî din ferman dê xeletiyek bide. Di doza filterkirinê de ji hêla IP, berevajî, DST û SRC li pêşberî IP-ya li pêşiya IP-ê bisekinin.
Serlêdan û an filter
Heke hewce ye ku hûn di heman fermanê de çend fîlteran bikar bînin, wê hingê hûn hewce ne ku bikar bînin û fîlter bikin (bi dozê ve girêdayî ye). Filters di syntax de destnîşan dikin û wan bi van operatoran veqetînin, hûn "çêbikin" ji wan re bixebitin. Li ser mînaka wusa xuya dike:
Sudo TCPDUMP -i PPP0 IP DST 95.47.14.254 an IP SRC 95.47.144.254
Mînak:
Ji fermandariya fermanê, diyar e ku hemî pakêtên ku ji "termînalê" hatine şandin li ser navnîşê 95.47.14.254 û pakêtên ku ji hêla heman navnîşê ve hatine wergirtin têne nîşandan. Her weha hûn dikarin di vê vegotinê de hin guherbaran biguherînin. Mînakî, li şûna IP-ê, mêvandar diyar bikin an jî navnîşanên xwe bi cîh bikin.
Port û fîltera portre
Fîltera portê di rewşên ku hûn hewce ne ku di derheqê pakêtên bi portek taybetî de agahdariyê bigirin bêkêmasî ye. Ji ber vê yekê, heke hûn hewce ne ku tenê bersiv an daxwazên DNS bibînin, hûn hewce ne ku port 53 diyar bikin:
Sudo tcpdump -vv -i ppp0 port 53
Mînak:
Heke hûn dixwazin pakêtên HTTP bibînin, hûn hewce ne ku port 80 binivîse:
Sudo tcpdump -vv -i ppp0 port 80
Mînak:
Di nav tiştên din de, gengaz e ku meriv bi yekcar rêzika portan bişopîne. Ji bo vê armancê, fîltera porteqalî tê sepandin:
Sudo tcpdump Portrange 50-80
Wekî ku hûn dikarin bibînin, li Ligament bi fîltera portrange, ne hewce ye ku hûn vebijarkên zêde diyar bikin. Tenê tenê rêzê bicîh bikin.
Filterkirina ji hêla protokolan ve
Her weha hûn dikarin tenê seyrûsefera ku bi protokolê re têkildar nîşan bidin. Da ku vê yekê bikin, navê vê protokolê wekî fîlter bikar bînin. Em ê di mînaka UDP de analîz bikin:
Sudo tcpdump -vvv -i PPP0 UDP
Mînak:
Wekî ku hûn dikarin di wêneyê de bibînin, piştî ku emrê di termînalê de bicîh bikin, tenê pakêtên bi protokola UDP xuya bûn. Li gorî vê yekê, hûn dikarin fîlter û din, ji bo nimûne, ARP:
Sudo tcpdump -vvv -i ppp0 arp
an TCP:
Sudo tcpdump -vvv -i ppp0 tcp
Filterê net
Operatorê Net ji bo kişandina sêwirana tora xwe ji bo pakêtan alîkar dike. Di heman demê de karanîna wê jî hêsan e, û her weha mayî - hûn hewce ne ku taybetmendiya net di syntax de diyar bikin, dûv re navnîşana torê binivîsin. Li vir mînakek tîmek wusa ye:
Sudo tcpdump -i ppp0 net 192.168.1.1
Mînak:
Filterkirina pakêtê
Me du fîlterên balkêştir fikir nekir: kêmtir û mezintir. Ji sifrê bi filtreyan, em dizanin ku ew ji pakêtên daneyên hilberê re (kêmtir) an kêmtir (mezintir) ku piştî têketinê ve tê destnîşan kirin.
Bifikirin ku em dixwazin pakêtên ku ji 50 bîtan derbas nebin, wê hingê tîmê wê forma jêrîn hebe:
Sudo tcpdump -i ppp0 kêmtir 50
Mînak:
Ka em di termînalê de pakêtan bibînin, mezinahiya ku ji 50 heban zêdetir e:
Sudo tcpdump -i ppp0 mezin 50
Mînak:
Wekî ku hûn dibînin, ew wekhev têne sepandin, cûdahî tenê bi navê filterê ye.
Xelasî
Di dawiya gotarê de, em dikarin encam bikin ku tîm Tcpdump. - Ev amûrek mezin e ku hûn dikarin her daneyên ku li ser înternetê derbas dikin bişopînin. Lê ji bo vê yekê ne bes e ku meriv bi tenê fermanê xwe bide nav "termînalê". Ew ê gengaz be ku meriv encam bide ku hûn hemî cûre vebijark û fîlteran bikar bînin, û her weha kombînasyona wan bikar bînin.