12 poleceń TCPDUMP - narzędzie sieciowe Sniffer

W naszym poprzednim artykule widzieliśmy 20 poleceń NetStat (NetStat zastąpione teraz poleceniem SS) do monitorowania lub zarządzania siecią Linux. To jest nasza kolejna ciągła seria narzędzia Sniffer Packet Casting TCPDUMP. Tutaj pokażemy, jak zainstalować TCPDUMP a następnie omawiamy i omawiamy kilka przydatnych poleceń za pomocą ich praktycznych przykładów.

TCPDUMP to najpotężniejsze i szeroko używane narzędzie do analizatora linii poleceń lub narzędzie do analizatora pakietu, które służy do przechwytywania lub filtrowania TCP/IP pakiety odbierane lub przesyłane przez sieć w określonym interfejsie.

[Może się również podobać: 16 przydatnych narzędzi do monitorowania przepustowości do analizy użycia sieci w Linux]

Jest dostępny pod większością Linux/Unix system operacyjny. TCPDUMP daje nam również opcję zapisania przechwyconych pakietów w pliku do przyszłej analizy. Zapisuje plik w PCAP Format, który może być wyświetlany przez polecenie TCPDUMP lub narzędzie oparte na GUI open source o nazwie Wireshark (Network Protocol Analyzer), które odczytuje TCPDump PCAP Pliki formatowe.

Jak zainstalować TCPDump w Linux

Wiele dystrybucji Linux już wysłanych z TCPDUMP narzędzie, jeśli w przypadku, gdy nie masz go w systemie, możesz go zainstalować za pomocą jednego z następujących poleceń.

$ sudo apt-get instaluj tcpdump [on Debian, Ubuntu i Mint] $ sudo yum instaluj tcpdump [on RHEL/CENTOS/FEDORA I Rocky Linux/Almalinux] $ sudo emerge -a sys -apps/tcpdump [on Gentoo Linux] $ sudo pacman -s tcpdump [on Arch Linux] $ sudo zyper instaluj tcpdump [on OpenSuse] 

Pierwsze kroki z przykładami poleceń TCPDUMP

Kiedyś TCPDUMP Narzędzie jest zainstalowane w systemie, możesz nadal przeglądać następujące polecenia za pomocą ich przykładów.

1. Przechwytuj pakiety z określonego interfejsu

Ekran polecenia będzie przewijać w górę do momentu przerwania, a kiedy wykonamy TCPDUMP polecenie, które przechwyci ze wszystkich interfejsów, jednak z -I Przełącz przechwytywanie tylko z pożądanego interfejsu.

# tcpdump -i eth0 TCPDUMP: WSKAZÓWKA WYJĄTKOWE ODPOWIEDZIALNOŚĆ, Użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link typu EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 11:33:31.976358 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 3500440357: 3500440553, ACK 3652628334, WIN 18760, długość 196 11:33:31.976603 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], Ack 196, Win 64487, długość 0 11:33:31.977243 ARP, żądanie Who-Has Tecmint.Com Tell 172.16.25.126, długość 28 11:33:31.977359 ARP, odpowiedź.com is-at 00: 14: 5e: 67: 26: 1d (oui nieznany), długość 46 11:33:31.977367 IP 172.16.25.126.54807> Tecmint.com: 4240+ ptr? 125.25.16.172.w addr.Arpa. (44) 11:33:31.977599 ip TecMint.com> 172.16.25.126.54807: 4240 NXDOMAIN 0/1/0 (121) 11:33:31.977742 IP 172.16.25.126.44519> Tecmint.com: 40988+ ptr? 126.25.16.172.w addr.Arpa. (44) 11:33:32.028747 IP 172.16.20.33.Netbios-NS> 172.16.31.255.Netbios-NS: NBT UDP Packet (137): zapytanie; WNIOSEK; Transmisja 11:33:32.112045 IP 172.16.21.153.Netbios-NS> 172.16.31.255.Netbios-NS: NBT UDP Packet (137): zapytanie; WNIOSEK; Transmisja 11:33:32.115606 IP 172.16.21.144.Netbios-NS> 172.16.31.255.Netbios-NS: NBT UDP Packet (137): zapytanie; WNIOSEK; Transmisja 11:33:32.156576 ARP, prośba Who-Has 172.16.16.37 Powiedz Old-OracleHP1.MidCorp.południe.com, długość 46 11:33:32.348738 IP Tecmint.com> 172.16.25.126.44519: 40988 NXDOMAIN 0/1/0 (121)

2. Uchwyć tylko liczbę pakietów

Kiedy prowadzisz TCPDUMP polecenie, które przechwyci wszystkie pakiety dla określonego interfejsu, dopóki nie Ty uderzyć przycisk Anuluj. Ale używając -C Opcja, możesz przechwycić określoną liczbę pakietów. Poniższy przykład tylko przechwyci 6 pakiety.

# tcpdump -c 5 -i eth0 TCPDUMP: WSKAZÓWKA WYJĄTKOWE ODMIANY, Użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link typu EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 11:40:20.281355 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 3500447285: 3500447481, ACK 3652629474, wygrana 18760, długość 196 11:40:20.281586 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], Ack 196, Win 65235, długość 0 11:40:20.282244 ARP, poproś o Who-Has Tecmint.Com Tell 172.16.25.126, długość 28 11:40:20.282360 ARP, odpowiedź.com is-at 00: 14: 5e: 67: 26: 1d (oui nieznany), długość 46 11:40:20.282369 IP 172.16.25.126.53216> Tecmint.com.Domena: 49504+ ptr? 125.25.16.172.w addr.Arpa. (44) 11:40:20.332494 IP Tecmint.com.Netbios-SSN> 172.16.26.17.Nimaux: flagi [p.], SEQ 3058424861: 3058424914, ACK 693912021, WIN 64190, Długość 53 Pakiet sesji NBT: Wiadomość sesji 6 przechwyconych pakietów 23 pakiety otrzymane przez filtr 0 pakietów upuszczonych przez jądro

3. Wydrukuj przechwycone pakiety w ASCII

Poniżej TCPDUMP polecenie z opcją -A Wyświetla pakiet w ASCII format. Jest to format schematu kodowania postaci.

# tcpdump -a -i eth0 TCPDUMP: WSKAZÓWKA WYJĄTKOWE ODPOWIEDZIALNOŚĆ, Użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link -Type EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 09:31:31.347508 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 3329372346: 3329372542, ACK 4193416789, Win 17688, długość 196 m.R0… vup.mi.X… ~.%…> N… OFK… KQ…) EQ.D.,… R^l… m \ [chroniony e -mail] _… j… ja.*… 2f.MQH… Q.C… 6… 9.v.GB…;… 4.).Uicy]… 9… x.)… Z.Xf… '|… e… m… u.5… UL 09:31:31.347760 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flagi [.], Ack 196, Win 64351, długość 0 m… vu.R1 ~ P… _… ^C09: 31: 31.349560 IP 192.168.0.2.46393> b.Resicvers.Poziom 3.internet.Domena: 11148+ ptr? 1.0.168.192.w addr.Arpa. (42) [chroniony e -mail]@… 9.5.2.f+… 1.0.168.192.w addr.ARPA… 3 pakiety przechwycone 11 pakietów otrzymanych przez filtr 0 pakietów upuszczonych przez jądro

4. Wyświetl dostępne interfejsy

Aby wymienić liczbę dostępnych interfejsów w systemie, uruchom następujące polecenie za pomocą -D opcja.

# tcpdump -d 1.ETH0 2.ETH1 3.USBMON1 (autobus USB numer 1) 4.USBMON2 (autobus USB Numer 2) 5).USBMON3 (autobus USB Numer 3) 6.USBMON4 (autobus USB Numer 4) 7).USBMON5 (autobus USB numer 5) 8.dowolny (pseudo-urządzenie, które oddaje się na wszystkich interfejsach) 9.lo

5. Wyświetl przechwycone pakiety w sześciokątnym i ASCII

Następujące polecenie z opcją -Xx przechwycić dane każdego pakietu, w tym nagłówek na poziomie linków KLĄTWA I ASCII format.

# tcpdump -xx -i eth0 11:51:18.974360 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 3509235537: 3509235733, ACK 3652638190, WIN 18760, długość 196 0x0000: B8AC 6F2E 57B3 0001 6C99 1468 0800 4510… o.W… l… h… e. 0x0010: 00EC 8783 4000 4006 275D AC10 197e AC10 [e -mail chroniony]@.']… ~… 0x0020: 197d 0016 1129 D12A AF51 D9B6 D5EE 5018 .…).*.Q… p. 0x0030: 4948 8BFA 0000 0E12 EA4D 22D1 67C0 F123 IH… M ”.G… # 0x0040: 9013 8f68 AA70 29F3 2EFC C512 5660 4FE8… H.P)… v'o. 0x0050: 590a D631 F939 DD06 E36A 69ED CAC2 95B6 Y… 1.9… JI… 0x0060: F8BA B42A 344B 8E56 A5C4 B3A2 ED82 C3A1… *4K.V… 0x0070: 80c8 7980 11AC 9BD7 5B01 18D5 8180 4536… Y… [… E6 0x0080: 30fd 4f6d 4190 F66F 2E24 E877 ED23 8EB0 0 0.OMA… o.$.w.#… 0x0090: 5a1d F3EC 4BE4 E0FB 8553 7C85 17D9 866F Z… K… S | .Y….*.V 0x00D0: 37D6 C5F3 F5F3 D8E8 3316 D14F D7AB FD93 7… 3… o… 0x00E0: 1137 61C1 6A5C B4D1 DDDA 380A F782 D983 .7a.J \… 8… 0x00F0: 62ff A5A9 BB39 4F80 668A B… 9O.F. 11:51:18.974759 IP 172.16.25.126.60952> MDDC-01.MidCorp.południe.com.Domena: 14620+ ptr? 125.25.16.172.w addr.Arpa. (44) 0x0000: 0014 5e67 261d 0001 6c99 1468 0800 4500… ^G &… L… H… E. 0x0010: 0048 5A83 4000 4011 5E25 AC10 197E AC10 [e -mail chroniony]@.^%… ~… 0x0020: 105e EE18 0035 0034 8242 391C 0100 0001 .^… 5.4.B9… 0x0030: 0000 0000 0000 0331 3235 0232 3502 3136… 125.25.16 0x0040: 0331 3732 0769 6e2d 6164 6472 0461 7270 .172.w addr.ARP 0x0050: 6100 000c 0001 A… 

6. Przechwytuj i zapisz pakiety w pliku

Jak powiedzieliśmy, to TCPDUMP ma funkcję do przechwytywania i zapisania pliku w .PCAP format, aby to zrobić, po prostu wykonaj polecenie -w opcja.

# tcpdump -w 0001.PCAP -i ETH0 TCPDUMP: Słuchanie na ETH0, Link typu EN10MB (Ethernet), Rozmiar przechwytywania 65535 bajtów 4 pakiety Zabryczone 4 pakiety otrzymane przez filtr 0 pakietów upuszczonych przez jądro

7. Przeczytaj przechwycony plik pakietów

Czytać i analizować przechwycone pakiet 0001.PCAP Plik użyj polecenia z -R opcja, jak pokazano poniżej.

# tcpdump -r 0001.PCAP Odczyt z pliku 0001.PCAP, Link-Type EN10MB (Ethernet) 09:59:34.839117 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 3353041614: 3353041746, ACK 4193563273, WIN 18760, długość 132 09:59:34.963022 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flagi [.], Ack 132, Win 65351, długość 0 09:59:36.935309 IP 192.168.0.1.Netbios-DGM> 192.168.0.255.Netbios-DGM: NBT UDP Packet (138) 09:59:37.528731 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flagi [P.], SEQ 1:53, ACK 132, Win 65351, długość 5

8. Przechwytuj pakiety adresów IP

Aby przechwytywać pakiety dla określonego interfejsu, uruchom następujące polecenie z opcją -N.

# tcpdump -n -i eth0 TCPDUMP: WSPÓŁPRODOMOWE OUNKUJĄCE ODPOWIEDZIALNIE, Użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link -Type EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 12:07:03.952358 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 3509512873: 3509513069, ACK 3652639034, wygrana 18760, długość 196 12:07:03.952602 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], Ack 196, Win 64171, długość 0 12:07:03.953311 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 196: 504, ACK 1, Win 18760, długość 308 12:07:03.954288 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 504: 668, ACK 1, Win 18760, długość 164 12:07:03.954502 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], Ack 668, Win 65535, długość 0 12:07:03.955298 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 668: 944, ACK 1, Win 18760, Długość 276 12:07:03.955425 IP 172.16.23.16.Netbios-NS> 172.16.31.255.Netbios-NS: NBT UDP Packet (137): rejestracja; WNIOSEK; Transmisja 12:07:03.956299 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 944: 1236, ACK 1, Win 18760, długość 292 12:07:03.956535 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], ACK 1236, wygrana 64967, długość 0

9. Przechwytuj tylko pakiety TCP.

Aby przechwytywać pakiety na podstawie TCP port, uruchom następujące polecenie z opcją TCP.

# tcpdump -i eth0 tcp TCPDUMP: WSKAZÓWKA WYJĄTKOWE SPRÓBUJE, Użyj -V lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link typu EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 12:10:36.216358 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 3509646029: 3509646225, ACK 3652640142, WIN 18760, długość 196 12:10:36.216592 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], Ack 196, Win 64687, długość 0 12:10:36.219069 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 196: 504, ACK 1, Win 18760, długość 308 12:10:36.220039 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 504: 668, ACK 1, Win 18760, długość 164 12:10:36.220260 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], Ack 668, Win 64215, długość 0 12:10:36.222045 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 668: 944, ACK 1, Win 18760, Długość 276 12:10:36.223036 IP 172.16.25.126.SSH> 172.16.25.125.Apwi-rxspooler: flagi [str.], SEQ 944: 1108, ACK 1, Win 18760, Długość 164 12:10:36.223252 IP 172.16.25.125.Apwi-rxspooler> 172.16.25.126.SSH: Flagi [.], ACK 1108, Win 65535, długość 0 ^C12: 10: 36.223461 IP MID-PAY.MidCorp.południe.com.Netbios-SSN> 172.16.22.183.Przepis: flagi [.], SEQ 283256512: 283256513, ACK 5504652221, Win 65531, długość 1 [| SMB]

10. Pakiet przechwytujący z określonego portu

Powiedzmy, że chcesz przechwycić pakiety dla określonego portu 22, wykonaj poniższe polecenie, określając numer portu 22 jak pokazano niżej.

# tcpdump -i Eth0 Port 22 TCPDUMP: WSKAZÓWKA WYJĄTKOWE ODPOWIEDZIALNOŚĆ, Użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link -Type EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 10:37:49.056927 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 3364204694: 3364204890, ACK 4193655445, wygrana 20904, długość 196 10:37:49.196436 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 4294967244: 196, ACK 1, Win 20904, długość 248 10:37:49.196615 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flagi [.], Ack 196, Win 64491, długość 0 10:37:49.379298 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 196: 616, ACK 1, Win 20904, długość 420 10:37:49.381080 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 616: 780, ACK 1, wygrana 20904, długość 164 10:37:49.381322 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flagi [.], Ack 780, Win 65535, długość 0

11. Przechwytuj pakiety z źródła IP

Aby uchwycić pakiety ze źródła Ip, powiedz, że chcesz uchwycić pakiety 192.168.0.2, Użyj polecenia w następujący sposób.

# tcpdump -i eth0 src 192.168.0.2 TCPDUMP: WSKAZÓWKA WYJĄTKOWE OUNKUJĄCE, Użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link -Type EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 10:49:15.746474 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-CH1: Flagi [P.], SEQ 3364578842: 3364579038, ACK 4193668445, WIN 20904, długość 196 10:49:15.748554 IP 192.168.0.2.56200> b.Resicvers.Poziom 3.internet.Domena: 11289+ ptr? 1.0.168.192.w addr.Arpa. (42) 10:49:15.912165 IP 192.168.0.2.56234> b.Resicvers.Poziom 3.internet.Domena: 53106+ ptr? 2.0.168.192.w addr.Arpa. (42) 10:49:16.074720 IP 192.168.0.2.33961> b.Resicvers.Poziom 3.internet.Domena: 38447+ ptr? 2.2.2.4.w addr.Arpa. (38)

12. Przechwytuj pakiety z docelowego IP

Aby przechwytywać pakiety z miejsca docelowego Ip, powiedz, że chcesz uchwycić pakiety 50.116.66.139, Użyj polecenia w następujący sposób.

# tcpdump -i eth0 dst 50.116.66.139 TCPDUMP: WSPÓŁPRODOSOWANE Wyjście, użyj -v lub -vv do pełnego dekodowania protokołu słuchania ETH0, Link typu EN10MB (Ethernet), rozmiar przechwytywania 65535 bajtów 10:55:01.798591 IP 192.168.0.2.59896> 50.116.66.139.HTTP: Flagi [.], ACK 2480401451, WIN 318, Opcje [NOP, NOP, TS Val 7955710 ECR 804759402], długość 0 10:55:05.527476 IP 192.168.0.2.59894> 50.116.66.139.http: flagi [f.], SEQ 2521556029, ACK 2164168606, WIN 245, Opcje [NOP, NOP, TS Val 7959439 ECR 804759284], długość 0 10:55:05.626027 IP 192.168.0.2.59894> 50.116.66.139.HTTP: Flagi [.], ACK 2, Win 245, opcje [NOP, NOP, TS Val 7959537 ECR 804759787], długość 0

Ten artykuł może pomóc Ci zbadać TCPDUMP Dowództwo dogłębnie, a także do przechwytywania i analizy pakietów w przyszłości. Dostępnych jest wiele opcji, możesz użyć opcji zgodnie z wymaganiami. Udostępnij, jeśli uważasz ten artykuł przydatny za pośrednictwem naszego pola komentarza.