Esteu intentant capturar paquets de dades per analitzar el trànsit a la vostra xarxa? Potser sou un administrador de servidor que s'ha trobat amb un problema i vol supervisar les dades transmeses a la xarxa. Sigui quina sigui la situació, la utilitat tcpdump Linux és el que necessiteu.
En aquest article, parlarem detalladament de l'ordre tcpdump, juntament amb algunes guies sobre com instal·lar i utilitzar tcpdump al vostre sistema Linux.
Què és l'ordre tcpdump?
Tcpdump és una potent eina de control de xarxa que permet a un usuari filtrar els paquets i el trànsit d’una xarxa de manera eficient. Podeu obtenir informació detallada relacionada amb TCP / IP i els paquets transmesos a la vostra xarxa. Tcpdump és una utilitat de línia d’ordres, cosa que significa que podeu executar-lo en servidors Linux sense pantalla.
Els administradors del sistema també poden integrar la utilitat tcpdump amb cron per tal d’automatitzar diverses tasques com el registre. Atès que les seves nombroses funcions el fan molt versàtil, tcpdump funciona com a eina de seguretat i de resolució de problemes.
Com instal·lar tcpdump a Linux
Tot i que la major part del temps trobareu tcpdump preinstal·lat al vostre sistema, algunes distribucions de Linux no s’inclouen amb el paquet. Per tant, és possible que hagueu d’instal·lar manualment la utilitat al vostre sistema.
Podeu comprovar si tcpdump està instal·lat al vostre sistema mitjançant el fitxer quin comandament.
which tcpdump
Si la sortida mostra un camí de directori ( / usr / bin / tcpdump ), el vostre sistema té instal·lat el paquet. Tanmateix, si no, podeu fer-ho fàcilment utilitzant el gestor de paquets predeterminat del vostre sistema.
Per instal·lar tcpdump en distribucions basades en Debian com Ubuntu:
sudo apt-get install tcpdump
Instal·lar tcpdump a CentOS també és fàcil.
sudo yum install tcpdump
En distribucions basades en Arch:
sudo pacman -S tcpdump
Per instal·lar-lo a Fedora:
sudo dnf install tcpdump
Tingueu en compte que el paquet tcpdump requereix libcap com a dependència, assegureu-vos que també ho instal·leu al vostre sistema.
Exemples de Tcpdump per capturar paquets de xarxa a Linux
Ara que heu instal·lat tcpdump amb èxit a la vostra màquina Linux, és hora de supervisar alguns paquets. Com que tcpdump requereix permisos de superusuari per executar la majoria de les operacions, haureu d'afegir suo a les vostres ordres.
1. Enumereu totes les interfícies de xarxa
Per comprovar quines interfícies de xarxa hi ha disponibles per capturar, utilitzeu el fitxer -D marca amb l'ordre tcpdump.
tcpdump -D
Passant el --list-interfaces flag com a argument retornarà la mateixa sortida.
tcpdump --list-interfaces
La sortida serà una llista de totes les interfícies de xarxa que hi ha al vostre sistema.
Després d’obtenir la llista d’interfícies de xarxa, és hora de controlar la vostra xarxa capturant paquets al vostre sistema. Tot i que podeu especificar quina interfície voleu utilitzar, el fitxer cap Les ordres argument tcpdump per capturar paquets de xarxa mitjançant qualsevol interfície activa.
tcpdump --interface any
El sistema mostrarà la següent sortida.
com canviar l'ordre de les pàgines en word
Relacionat: Què és el model d'interconnexió de sistemes oberts?
2. El format de sortida tcpdump
A partir de la tercera línia, cada línia de la sortida indica un paquet específic capturat per tcpdump. A continuació s’explica la sortida d’un sol paquet.
17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33
Tingueu en compte que no tots els paquets es capturen d’aquesta manera, però aquest és el format general que segueixen la majoria.
La sortida conté la informació següent.
- Marca de temps del paquet rebut
- Nom de la interfície
- Flux de paquets
- Nom del protocol de xarxa
- Adreça IP i detalls del port
- Banderes TCP
- El nombre de seqüències de dades del paquet
- Dades ACK
- Mida de la finestra
- Longitud del paquet
El primer camp ( 17: 00: 25.369138 ) mostra la marca de temps quan el vostre sistema va enviar o rebre el paquet. El temps enregistrat s’extreu de l’hora local del vostre sistema.
l'ordinador no reconeix el telèfon quan està connectat
El segon i el tercer camps indiquen la interfície utilitzada i el flux del paquet. Al fragment de dalt, wlp0s20f3 és el nom de la interfície sense fils i Fora és el flux de paquets.
El quart camp inclou informació relacionada amb el nom del protocol de xarxa. En general, hi trobareu dos protocols: IP i IP6 , on IP indica IPV4 i IP6 és per a IPV6.
El següent camp conté les adreces IP o el nom del sistema d'origen i de destinació. Les adreces IP van seguides del número de port.
El sisè camp de la sortida consta de senyaladors TCP. Hi ha diversos indicadors que s’utilitzen a la sortida tcpdump.
Nom de la bandera | Valor | Descripció |
---|---|---|
VISTA | S | S'ha iniciat la connexió |
FI | F | S'ha acabat la connexió |
EMPENYAR | Pàg | Les dades s’envien |
RST | R | La connexió es restableix |
ALAS | . | Reconeixement |
La sortida també pot contenir una combinació de diversos indicadors TCP. Per exemple, BANDERA [f.] significa un paquet FIN-ACK.
Avançant al fragment de sortida, el camp següent conté el número de seqüència ( seq 196: 568 ) de les dades del paquet. El primer paquet sempre té un valor enter positiu i els paquets següents utilitzen el número de seqüència relativa per millorar el flux de dades.
El següent camp conté el número de confirmació ( ACK 1 ), o simple número Ack. El paquet capturat a la màquina del remitent té 1 com a número de confirmació. Al final del receptor, el número Ack és el valor del següent paquet.
El novè camp de la sortida s'adapta a la mida de la finestra ( guanya 309 ), que és el nombre de bytes disponibles al buffer receptor. Hi ha diversos camps que segueixen la mida de la finestra, inclosa la mida màxima del segment (MSS).
L'últim camp ( longitud 33 ) conté la longitud del paquet global capturat per tcpdump.
3. Limiteu el recompte de paquets capturats
En executar l'ordre tcpdump per primera vegada, és possible que observeu que el sistema continua capturant paquets de xarxa fins que no passeu un senyal d'interrupció. Podeu anul·lar aquest comportament per defecte especificant el recompte de paquets que voleu capturar prèviament mitjançant el fitxer -c bandera.
tcpdump --interface any -c 10
L’ordre esmentada capturarà deu paquets des de qualsevol interfície de xarxa activa.
4. Filtreu paquets basats en camps
Quan solucioneu un problema, obtenir un bloc important de sortida de text al terminal no ho fa més fàcil. Aquí és on entra en joc la funció de filtratge de tcpdump. Podeu filtrar els paquets segons diversos camps, inclosos l'amfitrió, el protocol, el número de port i molt més.
Per capturar només paquets TCP, escriviu:
tcpdump --interface any -c 5 tcp
De la mateixa manera, si voleu filtrar la sortida mitjançant el número de port:
tcpdump --interface any -c 5 port 50
L'ordre esmentada només recuperarà els paquets transmesos a través del port especificat.
Per obtenir els detalls del paquet d'un amfitrió concret:
tcpdump --interface any -c 5 host 112.123.13.145
Si voleu filtrar els paquets enviats o rebuts per un amfitrió específic, utilitzeu el fitxer src o bé etc. argument amb l'ordre.
tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145
També podeu utilitzar els operadors lògics i i o bé per combinar dues o més expressions juntes. Per exemple, per obtenir paquets que pertanyen a la IP d'origen 112.123.13.145 i utilitzeu el port 80 :
tcpdump --interface any -c 10 src 112.123.13.145 and port 80
Les expressions complexes es poden agrupar utilitzant parèntesis com segueix:
tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'
5. Vegeu el contingut del paquet
Podeu utilitzar el fitxer -A i -x marca amb l'ordre tcpdump per analitzar el contingut del paquet de xarxa. El -A bandera significa ASCII format i -x denota hexadecimal format.
Per veure el contingut del següent paquet de xarxa capturat pel sistema:
tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x
Relacionat: Què és la pèrdua de paquets i com solucionar-ne la causa?
6. Deseu les dades de captura en un fitxer
Si voleu desar les dades de captura a efectes de referència, tcpdump hi és per ajudar-vos. Només cal passar el -en marca amb l'ordre per defecte per escriure la sortida a un fitxer en lloc de mostrar-la a la pantalla.
tcpdump --interface any -c 10 -w data.pcap
El .pcap extensió de fitxer captura de paquets dades. També podeu emetre l'ordre esmentada en mode detallat mitjançant el fitxer -v bandera.
tcpdump --interface any -c 10 -w data.pcap -v
Per llegir un .pcap utilitzeu tcpdump, utilitzeu el fitxer -r indicador seguit del camí del fitxer. El -r significa Llegiu .
és exfat el mateix que el format fat32
tcpdump -r data.pcap
També podeu filtrar paquets de xarxa a partir de les dades de paquets guardades al fitxer.
tcpdump -r data.pcap port 80
Supervisió del trànsit de xarxa a Linux
Si se us ha assignat la tasca d'administrar un servidor Linux, l'ordre tcpdump és una eina fantàstica per incloure al vostre arsenal. Podeu solucionar fàcilment problemes relacionats amb la xarxa capturant paquets transmesos a la vostra xarxa en temps real.
Però abans de tot això, el dispositiu ha d’estar connectat a Internet. Per als principiants de Linux, fins i tot connectar-se amb el Wi-Fi a través de la línia d’ordres pot ser una mica difícil. Però si utilitzeu les eines adequades, és molt ràpid.
Compartir Compartir Tweet Correu electrònic Com connectar-se a Wi-Fi a través del terminal Linux amb NmcliVoleu connectar-vos a una xarxa Wi-Fi mitjançant la línia d’ordres de Linux? Això és el que heu de saber sobre l'ordre nmcli.
Llegiu a continuació Temes relacionats- Linux
- Seguretat
- Xarxa Forense
Deepesh és l'editor júnior de Linux a MUO. Escriu guies informatives a Linux, amb l'objectiu de proporcionar una experiència feliç a tots els nouvinguts. No estic segur de les pel·lícules, però si vols parlar de tecnologia, ell és el teu noi. Durant el temps lliure, el trobareu llegint llibres, escoltant diferents gèneres musicals o tocant la seva guitarra.
Més de Deepesh SharmaSubscriu-te al nostre butlletí
Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.
Feu clic aquí per subscriure-us