Com utilitzar tcpdump i 6 exemples

Com utilitzar tcpdump i 6 exemples

Esteu intentant capturar paquets de dades per analitzar el trànsit a la vostra xarxa? Potser sou un administrador de servidor que s'ha trobat amb un problema i vol supervisar les dades transmeses a la xarxa. Sigui quina sigui la situació, la utilitat tcpdump Linux és el que necessiteu.





En aquest article, parlarem detalladament de l'ordre tcpdump, juntament amb algunes guies sobre com instal·lar i utilitzar tcpdump al vostre sistema Linux.



Què és l'ordre tcpdump?

Tcpdump és una potent eina de control de xarxa que permet a un usuari filtrar els paquets i el trànsit d’una xarxa de manera eficient. Podeu obtenir informació detallada relacionada amb TCP / IP i els paquets transmesos a la vostra xarxa. Tcpdump és una utilitat de línia d’ordres, cosa que significa que podeu executar-lo en servidors Linux sense pantalla.





Els administradors del sistema també poden integrar la utilitat tcpdump amb cron per tal d’automatitzar diverses tasques com el registre. Atès que les seves nombroses funcions el fan molt versàtil, tcpdump funciona com a eina de seguretat i de resolució de problemes.

Com instal·lar tcpdump a Linux

Tot i que la major part del temps trobareu tcpdump preinstal·lat al vostre sistema, algunes distribucions de Linux no s’inclouen amb el paquet. Per tant, és possible que hagueu d’instal·lar manualment la utilitat al vostre sistema.



Podeu comprovar si tcpdump està instal·lat al vostre sistema mitjançant el fitxer quin comandament.

which tcpdump

Si la sortida mostra un camí de directori ( / usr / bin / tcpdump ), el vostre sistema té instal·lat el paquet. Tanmateix, si no, podeu fer-ho fàcilment utilitzant el gestor de paquets predeterminat del vostre sistema.



Per instal·lar tcpdump en distribucions basades en Debian com Ubuntu:

sudo apt-get install tcpdump

Instal·lar tcpdump a CentOS també és fàcil.



sudo yum install tcpdump

En distribucions basades en Arch:

sudo pacman -S tcpdump

Per instal·lar-lo a Fedora:

sudo dnf install tcpdump

Tingueu en compte que el paquet tcpdump requereix libcap com a dependència, assegureu-vos que també ho instal·leu al vostre sistema.

Exemples de Tcpdump per capturar paquets de xarxa a Linux

Ara que heu instal·lat tcpdump amb èxit a la vostra màquina Linux, és hora de supervisar alguns paquets. Com que tcpdump requereix permisos de superusuari per executar la majoria de les operacions, haureu d'afegir suo a les vostres ordres.

1. Enumereu totes les interfícies de xarxa

Per comprovar quines interfícies de xarxa hi ha disponibles per capturar, utilitzeu el fitxer -D marca amb l'ordre tcpdump.

tcpdump -D

Passant el --list-interfaces flag com a argument retornarà la mateixa sortida.

tcpdump --list-interfaces

La sortida serà una llista de totes les interfícies de xarxa que hi ha al vostre sistema.

Després d’obtenir la llista d’interfícies de xarxa, és hora de controlar la vostra xarxa capturant paquets al vostre sistema. Tot i que podeu especificar quina interfície voleu utilitzar, el fitxer cap Les ordres argument tcpdump per capturar paquets de xarxa mitjançant qualsevol interfície activa.

tcpdump --interface any

El sistema mostrarà la següent sortida.

com canviar l'ordre de les pàgines en word

Relacionat: Què és el model d'interconnexió de sistemes oberts?

2. El format de sortida tcpdump

A partir de la tercera línia, cada línia de la sortida indica un paquet específic capturat per tcpdump. A continuació s’explica la sortida d’un sol paquet.

17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33

Tingueu en compte que no tots els paquets es capturen d’aquesta manera, però aquest és el format general que segueixen la majoria.

La sortida conté la informació següent.

  1. Marca de temps del paquet rebut
  2. Nom de la interfície
  3. Flux de paquets
  4. Nom del protocol de xarxa
  5. Adreça IP i detalls del port
  6. Banderes TCP
  7. El nombre de seqüències de dades del paquet
  8. Dades ACK
  9. Mida de la finestra
  10. Longitud del paquet

El primer camp ( 17: 00: 25.369138 ) mostra la marca de temps quan el vostre sistema va enviar o rebre el paquet. El temps enregistrat s’extreu de l’hora local del vostre sistema.

l'ordinador no reconeix el telèfon quan està connectat

El segon i el tercer camps indiquen la interfície utilitzada i el flux del paquet. Al fragment de dalt, wlp0s20f3 és el nom de la interfície sense fils i Fora és el flux de paquets.

El quart camp inclou informació relacionada amb el nom del protocol de xarxa. En general, hi trobareu dos protocols: IP i IP6 , on IP indica IPV4 i IP6 és per a IPV6.

El següent camp conté les adreces IP o el nom del sistema d'origen i de destinació. Les adreces IP van seguides del número de port.

El sisè camp de la sortida consta de senyaladors TCP. Hi ha diversos indicadors que s’utilitzen a la sortida tcpdump.

Nom de la banderaValorDescripció
VISTASS'ha iniciat la connexió
FIFS'ha acabat la connexió
EMPENYARPàgLes dades s’envien
RSTRLa connexió es restableix
ALAS.Reconeixement

La sortida també pot contenir una combinació de diversos indicadors TCP. Per exemple, BANDERA [f.] significa un paquet FIN-ACK.

Avançant al fragment de sortida, el camp següent conté el número de seqüència ( seq 196: 568 ) de les dades del paquet. El primer paquet sempre té un valor enter positiu i els paquets següents utilitzen el número de seqüència relativa per millorar el flux de dades.

El següent camp conté el número de confirmació ( ACK 1 ), o simple número Ack. El paquet capturat a la màquina del remitent té 1 com a número de confirmació. Al final del receptor, el número Ack és el valor del següent paquet.

El novè camp de la sortida s'adapta a la mida de la finestra ( guanya 309 ), que és el nombre de bytes disponibles al buffer receptor. Hi ha diversos camps que segueixen la mida de la finestra, inclosa la mida màxima del segment (MSS).

L'últim camp ( longitud 33 ) conté la longitud del paquet global capturat per tcpdump.

3. Limiteu el recompte de paquets capturats

En executar l'ordre tcpdump per primera vegada, és possible que observeu que el sistema continua capturant paquets de xarxa fins que no passeu un senyal d'interrupció. Podeu anul·lar aquest comportament per defecte especificant el recompte de paquets que voleu capturar prèviament mitjançant el fitxer -c bandera.

tcpdump --interface any -c 10

L’ordre esmentada capturarà deu paquets des de qualsevol interfície de xarxa activa.

4. Filtreu paquets basats en camps

Quan solucioneu un problema, obtenir un bloc important de sortida de text al terminal no ho fa més fàcil. Aquí és on entra en joc la funció de filtratge de tcpdump. Podeu filtrar els paquets segons diversos camps, inclosos l'amfitrió, el protocol, el número de port i molt més.

Per capturar només paquets TCP, escriviu:

tcpdump --interface any -c 5 tcp

De la mateixa manera, si voleu filtrar la sortida mitjançant el número de port:

tcpdump --interface any -c 5 port 50

L'ordre esmentada només recuperarà els paquets transmesos a través del port especificat.

Per obtenir els detalls del paquet d'un amfitrió concret:

tcpdump --interface any -c 5 host 112.123.13.145

Si voleu filtrar els paquets enviats o rebuts per un amfitrió específic, utilitzeu el fitxer src o bé etc. argument amb l'ordre.

tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145

També podeu utilitzar els operadors lògics i i o bé per combinar dues o més expressions juntes. Per exemple, per obtenir paquets que pertanyen a la IP d'origen 112.123.13.145 i utilitzeu el port 80 :

tcpdump --interface any -c 10 src 112.123.13.145 and port 80

Les expressions complexes es poden agrupar utilitzant parèntesis com segueix:

tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'

5. Vegeu el contingut del paquet

Podeu utilitzar el fitxer -A i -x marca amb l'ordre tcpdump per analitzar el contingut del paquet de xarxa. El -A bandera significa ASCII format i -x denota hexadecimal format.

Per veure el contingut del següent paquet de xarxa capturat pel sistema:

tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x

Relacionat: Què és la pèrdua de paquets i com solucionar-ne la causa?

6. Deseu les dades de captura en un fitxer

Si voleu desar les dades de captura a efectes de referència, tcpdump hi és per ajudar-vos. Només cal passar el -en marca amb l'ordre per defecte per escriure la sortida a un fitxer en lloc de mostrar-la a la pantalla.

tcpdump --interface any -c 10 -w data.pcap

El .pcap extensió de fitxer captura de paquets dades. També podeu emetre l'ordre esmentada en mode detallat mitjançant el fitxer -v bandera.

tcpdump --interface any -c 10 -w data.pcap -v

Per llegir un .pcap utilitzeu tcpdump, utilitzeu el fitxer -r indicador seguit del camí del fitxer. El -r significa Llegiu .

és exfat el mateix que el format fat32
tcpdump -r data.pcap

També podeu filtrar paquets de xarxa a partir de les dades de paquets guardades al fitxer.

tcpdump -r data.pcap port 80

Supervisió del trànsit de xarxa a Linux

Si se us ha assignat la tasca d'administrar un servidor Linux, l'ordre tcpdump és una eina fantàstica per incloure al vostre arsenal. Podeu solucionar fàcilment problemes relacionats amb la xarxa capturant paquets transmesos a la vostra xarxa en temps real.

Però abans de tot això, el dispositiu ha d’estar connectat a Internet. Per als principiants de Linux, fins i tot connectar-se amb el Wi-Fi a través de la línia d’ordres pot ser una mica difícil. Però si utilitzeu les eines adequades, és molt ràpid.

Compartir Compartir Tweet Correu electrònic Com connectar-se a Wi-Fi a través del terminal Linux amb Nmcli

Voleu connectar-vos a una xarxa Wi-Fi mitjançant la línia d’ordres de Linux? Això és el que heu de saber sobre l'ordre nmcli.

Llegiu a continuació Temes relacionats
  • Linux
  • Seguretat
  • Xarxa Forense
Sobre l'autor Deepesh Sharma(79 articles publicats)

Deepesh és l'editor júnior de Linux a MUO. Escriu guies informatives a Linux, amb l'objectiu de proporcionar una experiència feliç a tots els nouvinguts. No estic segur de les pel·lícules, però si vols parlar de tecnologia, ell és el teu noi. Durant el temps lliure, el trobareu llegint llibres, escoltant diferents gèneres musicals o tocant la seva guitarra.

Més de Deepesh Sharma

Subscriu-te al nostre butlletí

Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.

Feu clic aquí per subscriure-us