Vodnik za začetnike TCPDUMP

Tcpdump je brezplačen in odprtokodni analizator paketnih brezžičnih podatkovnih omrežij, ki deluje na vmesniku ukazne vrstice. Je najpogosteje uporabljeno orodje CLI za analizo omrežnega prometa. Tcpdump omogoča uporabnikom, da vidijo, preberejo ali zajamejo omrežni promet, ki se prenaša prek omrežja, priključenega na računalnik. Uporaben je pri sistemski administraciji, spremljanju omrežnega prometa (za težave ali drugače).

Prvotno so ga leta 1988 napisali štirje delavci Network Research Group iz laboratorija Lawrence Berkeley v Kaliforniji. Enajst let pozneje sta jo leta 1999 organizirala Micheal Richardson in Bill Fenner, ki sta ustvarila spletno stran tcpdump. Tcpdump deluje na vseh Unixu podobnih operacijskih sistemih. Različica Tcpdump za Windows se imenuje WinDump in uporablja WinPcap, Windows alternativo za libpcap.

Uporabite snap za namestitev tcpdump:

$ sudo snap namestite tcpdump

Za namestitev tcpdump uporabite upravitelja paketov:

$ sudo apt-get install tcpdump (Debian / Ubuntu)
$ sudo dnf namestite tcpdump (CentOS / RHEL 6 in 7)
$ sudo yum namestite tcpdump (Fedora / CentOS / RHEL 8)

Oglejmo si različne načine uporabe in rezultate, ko raziskujemo tcpdump!

UDP

Tcpdump lahko odvrže tudi pakete UDP. Z orodjem netcat (nc) bomo poslali paket UDP in ga nato odvrgli.

$ echo -n "tcpdumper" | nc -w 1 -u localhost 1337

V zgornjem ukazu pošljemo paket UDP, sestavljen iz niza “Tcpdumper” v vrata UDP 1337 prek lokalni gostitelj. Tcpdump zajame paket, ki je poslan prek vrat UDP 1337, in ga prikaže.

Zdaj bomo paket oddali s pomočjo tcpdump.

$ sudo tcpdump -i lo udp port 1337 -vvv -X

Ta ukaz bo zajel in prikazal zajete podatke iz paketov v ASCII in šestnajstiški obliki.

tcpdump: poslušanje na lo, povezava EN10MB (Ethernet), dolžina posnetka 262144 bajtov
04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, odmik 0, zastavice [DF], proto UDP (17), dolžina 37)
lokalni gostitelj.54574> localhost.1337: [slab udp cksum 0xfe24 -> 0xeac6!] UDP, dolžina 9
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E…%… @.@…;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $ tcpd
0x0020: 756d 7065 72 umper

Kot lahko vidimo, je bil paket poslan na vrata 1337, dolžina pa je bila 9 kot niz tcpdumper je 9 bajtov. Prav tako lahko vidimo, da je bil paket prikazan v šestnajstiški obliki.

DHCP

Tcpdump lahko po omrežju izvaja tudi preiskave paketov DHCP. DHCP uporablja vrata UDP št. 67 ali 68, zato bomo določili in omejili tcpdump samo za pakete DHCP. Predpostavimo, da uporabljamo omrežni vmesnik wifi.
Tu uporabljen ukaz bo:

$ sudo tcpdump -i wlan0 vrata 67 ali vrata 68 -e -n -vvv
tcpdump: poslušanje na wlan0, tip povezave EN10MB (Ethernet), dolžina posnetka 262144 bajtov
03:52:04.004356 00: 11: 22: 33: 44: 55: 00: 11: 22: 33: 44: 66, etertip IPv4 (0x0800), dolžina 342: (tos 0x0, ttl 64, id 39781, odmik 0, zastave [DF ], proto UDP (17), dolžina 328)
192.168.10.21.68> 192.168.10.1.67: [udp sum ok] BOOTP / DHCP, zahteva od 00: 11: 22: 33: 44: 55, dolžina 300, xid 0xfeab2d67, zastave [nič] (0x0000)
Odjemalec-IP 192.168.10.16
Naslov odjemalec-Ethernet 00: 11: 22: 33: 44: 55
Razširitve Vendor-rfc1048
Čarobni piškotek 0x63825363
Sporočilo DHCP (53), dolžina 1: Sprostitev
ID strežnika (54), dolžina 4: 192.168.10.1
Ime gostitelja (12), dolžina 6: "papiga"
END (255), dolžina 0
PAD (0), dolžina 0, se pojavi 42

DNS

DNS, znan tudi kot sistem domenskih imen, potrjuje, da vam zagotavlja tisto, kar iščete, tako da ujema ime domene z naslovom domene. Če želite preveriti komunikacijo na ravni DNS v napravi prek interneta, lahko uporabite tcpdump na naslednji način. DNS za komunikacijo uporablja vrata UDP 53.

$ sudo tcpdump -i wlan0 udp vrata 53
tcpdump: poslušanje na wlan0, tip povezave EN10MB (Ethernet), dolžina posnetka 262144 bajtov
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, odmik 0, zastavice [DF], proto UDP (17), dolžina 72)
192.168.10.16.45899> ena.eno.eno.eno.domena: [udp sum ok] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, odmik 0, zastavice [DF], proto UDP (17), dolžina 104)
eno.eno.eno.eno.domena> 192.168.10.16.45899: [udp sum ok] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249, mozilla.cloudflare-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, odmik 0, zastavice [DF], proto UDP (17), dolžina 66)
192.168.10.16.34043> ena.eno.eno.eno.domena: [udp sum ok] 40757+ PTR? 1.1.1.1.v addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, odmik 0, zastavice [DF], proto UDP (17), dolžina 95)
eno.eno.eno.eno.domena> 192.168.10.16.34043: [udp sum ok] 40757 q: PTR? 1.1.1.1.v addr.arpa. 1/0/0 1.1.1.1.v addr.arpa. [26m53s] PTR ena.eno.eno.eno. (67)

ARP

Address Resolution Protocol se uporablja za odkrivanje naslova ravni povezave, kot je naslov MAC. Povezan je z danim naslovom internetne plasti, običajno z naslovom IPv4.

Tcpdump uporabljamo za zajem in branje podatkov, ki se prenašajo v arp paketih. Ukaz je tako preprost kot:

$ sudo tcpdump -i wlan0 arp -vvv
tcpdump: poslušanje na wlan0, tip povezave EN10MB (Ethernet), dolžina posnetka 262144 bajtov
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), Zahtevaj kdo ima 192.168.10.1 povej 192.168.10.2, dolžina 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), Zahtevaj kdo ima 192.168.10.21 povej 192.168.10.1, dolžina 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), odgovor 192.168.10.21. je ob 00: 11: 22: 33: 44: 55 (oui neznano), dolžina 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), Zahtevaj kdo ima 192.168.10.1 povej 192.168.10.2, dolžina 28

ICMP

ICMP, znan tudi kot Internet Control Message Protocol, je podporni protokol v paketu internetnih protokolov. ICMP se uporablja kot informacijski protokol.

Za ogled vseh paketov ICMP v vmesniku lahko uporabimo ta ukaz:

$ sudo tcpdump icmp -vvv
tcpdump: poslušanje na wlan0, tip povezave EN10MB (Ethernet), dolžina posnetka 262144 bajtov
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, odmik 0, zastavice [DF], proto ICMP (1), dolžina 84)
192.168.10.16> 192.168.10.1: ICMP zahteva za odmev, id 47363, zaporedje 1, dolžina 64
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, odmik 0, zastavice [nič], proto ICMP (1), dolžina 84)
192.168.10.1> 192.168.10.16: ICMP echo reply, id 47363, seq 1, length 64
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, odmik 0, zastavice [DF], proto ICMP (1), dolžina 84)
192.168.10.16> 192.168.10.1: ICMP zahteva za odmev, id 47363, zaporedje 2, dolžina 64
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, odmik 0, zastavice [nič], proto ICMP (1), dolžina 84)
192.168.10.1> 192.168.10.16: ICMP echo reply, id 47363, seq 2, length 64

NTP

NTP je mrežni protokol, zasnovan posebej za sinhronizacijo časa v omrežju strojev. Če želite zajeti promet na ntp:

$ sudo tcpdump dst port 123
04:31:05.547856 IP (tos 0x0, ttl 64, id 34474, odmik 0, zastavice [DF], proto UDP (17), dolžina 76)
192.168.10.16.ntp> time-b-wwv.nist.gov.ntp: [udp sum ok] NTPv4, odjemalec, dolžina 48
Indikator preskoka: ura nesinhronizirana (192), Stratum 0 (nedoločena), anketa 3 (8s), natančnost -6
Root Delay: 1.000000, disperzija korenin: 1.000000, referenčna številka: (neopredeljeno)
Referenčni časovni žig: 0.000000000
Časovni žig izvornika: 0.000000000
Prejmite časovni žig: 0.000000000
Časovni žig oddaje: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Originator - prejmite časovni žig: 0.000000000
Izvornik - časovni žig oddaje: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, odmik 0, zastavice [nič], proto UDP (17), dolžina 76)
čas-b-wwv.nist.gov.ntp> 192.168.10.16.ntp: [udp sum ok] NTPv3, strežnik, dolžina 48
Kazalnik preskoka: (0), Stratum 1 (primarna referenca), anketa 13 (8192s), natančnost -29
Root Delay: 0.000244, disperzija korenin: 0.000488, referenčna številka: NIST
Referenčni časovni žig: 3825358208.000000000 (2021-03-21T23: 30: 08Z)
Časovni žig izvornika: 3825358265.547764155 (2021-03-21T23: 31: 05Z)
Prejmite časovni žig: 3825358275.028660181 (2021-03-21T23: 31: 15Z)
Časovni žig oddaje: 3825358275.028661296 (2021-03-21T23: 31: 15Z)
Izvirnik - prejem časovnega žiga: +9.480896026
Izvornik - časovni žig oddaje: +9.480897141

SMTP

SMTP ali Simple Mail Transfer Protocol se v glavnem uporablja za e-pošto. Tcpdump lahko to uporabi za pridobivanje koristnih e-poštnih informacij. Na primer, da izvlečete prejemnike / pošiljatelje e-pošte:

$ sudo tcpdump -n -l vrata 25 | grep -i 'POŠTA OD \ | RCPT DO'

IPv6

IPv6 je "naslednja generacija" naslovov IP, ki nudi široko paleto naslovov IP. IPv6 pomaga doseči dolgoročno zdravje interneta.

Če želite zajeti promet IPv6, uporabite filter ip6, ki določa protokola TCP in UDP z uporabo proto 6 in proto-17.

$ sudo tcpdump -n -i kateri koli ip6 -vvv
tcpdump: vrsta podatkovne povezave LINUX_SLL2
tcpdump: poslušanje katere koli povezave LINUX_SLL2 (Linux v2), dolžina posnetka 262144 bajtov
04:34:31.847359 lo V IP6 (oznaka toka 0xc7cb6, hlim 64, dolžina nosilnosti UDP (17) naslednje glave: 40) :: 1.49395> :: 1.49395: [slab udp cksum 0x003b -> 0x3587!] UDP, dolžina 32
04:34:31.859082 lo V IP6 (oznaka toka 0xc7cb6, hlim 64, dolžina nosilnosti UDP (17) naslednje glave: 32) :: 1.49395> :: 1.49395: [slab udp cksum 0x0033 -> 0xeaef!] UDP, dolžina 24
04:34:31.860361 lo V IP6 (oznaka toka 0xc7cb6, hlim 64, dolžina nosilnosti UDP (17) naslednje glave: 40) :: 1.49395> :: 1.49395: [slab udp cksum 0x003b -> 0x7267!] UDP, dolžina 32
04:34:31.871100 lo V IP6 (oznaka pretoka 0xc7cb6, hlim 64, dolžina nosilnosti UDP (17) naslednje glave: 944) :: 1.49395> :: 1.49395: [slabo udp cksum 0x03c3 -> 0xf890!] UDP, dolžina 936
4 zajeti paketi
12 paketov, prejetih s filtrom
0 paketov, ki jih je spustilo jedro

'-C 4' zagotavlja število paketov do največ 4 paketov. Določimo lahko število paketov do n in zajamemo n paketov.

HTTP

Protokol za prenos hiperteksta se uporablja za prenos podatkov s spletnega strežnika v brskalnik za ogled spletnih strani. HTTP uporablja komunikacijo na obrazcu TCP. Natančneje, uporabljajo se vrata TCP 80.

Če želite natisniti vse pakete IPv4 HTTP na vrata 80 in nazaj:

tcpdump: poslušanje na wlan0, tip povezave EN10MB (Ethernet), dolžina posnetka 262144 bajtov
03:36:00.602104 IP (tos 0x0, ttl 64, id 722, odmik 0, zastavice [DF], proto TCP (6), dolžina 60)
192.168.10.21.33586> 192.168.10.1.http: Zastave [S], cksum 0xa22b (pravilno), seq 2736960993, win 64240, možnosti [mss 1460, sackOK, TS val 389882294 ecr 0, nop, wscale 10], dolžina 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, odmik 0, zastavice [DF], proto TCP (6), dolžina 60)
192.168.10.1.http> 192.168.10.21.33586: Zastave [S.], cksum 0x2dcc (pravilno), seq 4089727666, ack 2736960994, win 14480, možnosti [mss 1460, sackOK, TS val 30996070 ecr 389882294, nop, wscale 3], dolžina 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, odmik 0, zastavice [DF], proto TCP (6), dolžina 52)
192.168.10.21.33586> 192.168.10.1.http: Zastave [.], cksum 0x94e2 (pravilno), seq 1, ack 1, win 63, možnosti [nop, nop, TS val 389882297 ecr 30996070], dolžina 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, odmik 0, zastavice [DF], proto TCP (6), dolžina 481)

Zahteve HTTP ..

192.168.10.21.33586> 192.168.10.1.http: Zastave [str.], cksum 0x9e5d (pravilno), seq 1: 430, ack 1, win 63, možnosti [nop, nop, TS val 389882297 ecr 30996070], dolžina 429: HTTP, dolžina: 429
GET / HTTP / 1.1
Gostitelj: 192.168.10.1
Uporabniški agent: Mozilla / 5.0 (Windows NT 10.0; rv: 78.0) Gecko / 20100101 Firefox / 78.0
Sprejmem: text / html, application / xhtml + xml, application / xml; q = 0.9, slika / splet, * / *; q = 0.8
Accept-Language: en-US, en; q = 0.5
Sprejmi-kodiraj: gzip, deflate
DNT: 1
Povezava: ohraniti življenje
Piškotek: _TESTCOOKIESUPPORT = 1; SID = c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Zahteve za nadgradnjo-nezanesljive: 1

In tudi odgovori so zajeti

192.168.10.1.http> 192.168.10.21.33586: Zastave [str.], cksum 0x84f8 (pravilno), seq 1: 523, ack 430, win 1944, možnosti [nop, nop, TS val 30996179 ecr 389882297], dolžina 522: HTTP, dolžina: 522
HTTP / 1.1 200 OK
Strežnik: spletni strežnik ZTE 1.0 ZTE corp 2015.
Obsegi sprejema: bajti
Povezava: tesno
Možnosti X-Frame: SAMEORIGIN
Nadzor predpomnilnika: no-cache, no-store
Dolžina vsebine: 138098
Set-Cookie: _TESTCOOKIESUPPORT = 1; POT = /; HttpOnly
Content-Type: besedilo / html; charset = utf-8
Možnosti vrste vsebine X: nosniff
Content-Security-Policy: frame-predniki 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' podatki :;
X-XSS-Zaščita: 1; način = blok
Set-Cookie: SID =; poteče = čet, 01. januar 1970 00:00:00 GMT; pot = /; HttpOnly

TCP

Če želite zajeti pakete samo s TCP, bo ta ukaz naredil vse dobro:

$ sudo tcpdump -i wlan0 tcp
tcpdump: poslušanje na wlan0, tip povezave EN10MB (Ethernet), dolžina posnetka 262144 bajtov
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, odmik 0, zastavice [nič], proto TCP (6), dolžina 104)
tl-in-f189.1e100.mreža.https> 192.168.10.16.50272: Zastave [str.], cksum 0xc924 (pravilno), seq 1377740065: 1377740117, ack 1546363399, win 300, možnosti [nop, nop, TS val 13149401 ecr 3051434098], dolžina 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, odmik 0, zastavice [DF], proto TCP (6), dolžina 52)
192.168.10.16.50272> tl-in-f189.1e100.mreža.https: Zastave [.], cksum 0xf898 (pravilno), seq 1, ack 52, win 63, možnosti [nop, nop, TS val 3051461952 ecr 13149401], dolžina 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, odmik 0, zastavice [DF], proto TCP (6), dolžina 88)
192.168.10.16.50272> tl-in-f189.1e100.mreža.https: Zastave [str.], cksum 0x2531 (pravilno), seq 1:37, ack 52, win 63, možnosti [nop, nop, TS val 3051463260 ecr 13149401], dolžina 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, odmik 0, zastavice [DF], proto TCP (6), dolžina 88)
192.168.10.16.50434> hkg12s18-v-f14.1e100.mreža.https: Zastave [str.], cksum 0xb21e (pravilno), seq 328391782: 328391818, ack 3599854191, win 63, možnosti [nop, nop, TS val 3656137742 ecr 2564108387], dolžina 36
4 zajeti paketi
4 paketi, prejeti s filtrom
0 paketov, ki jih je spustilo jedro

Običajno zajemanje paketov TCP povzroči veliko prometa; podrobno lahko določite svoje zahteve z dodajanjem filtrov, kot so:

Pristanišče
Določa vrata za nadzor

$ sudo tcpdump -i wlan0 vrata tcp 2222

Izvorni IP
Za ogled paketov iz določenega vira

$ sudo tcpdump -i wlan0 tcp src 192.168.10.2

Ciljni IP
Za ogled paketov do določenega cilja

$ sudo tcpdump -i wlan0 tcp dst 192.168.10.2

Shranjevanje zajema paketov v datoteke

Če želite zajemanje paketov shraniti za poznejšo analizo, lahko uporabimo možnost -w tcpdump, ki zahteva parameter imena datoteke. Te datoteke so shranjene v obliki datoteke pcap (zajem paketov), ​​ki jo lahko uporabite za shranjevanje ali pošiljanje zajetih paketov.

Na primer:

$ sudo tcpdump -w / ujeto.pcap

Dodamo lahko filtre, ali želimo zajeti pakete TCP, UDP ali ICMP itd.

Branje zajemanja paketov iz datotek

Na žalost shranjene datoteke ne morete prebrati s skupnimi ukazi 'read file', kot je mačka itd. Rezultat je skoraj nerazumen in težko je ugotoviti, kaj je v datoteki. '-r' se uporablja za branje paketov, shranjenih v .pcap datoteka, ki jo prej shrani '-w' ali druga programska oprema za shranjevanje pcaps:

$ sudo tcpdump -r / izhodi.pcap

To natisne podatke, zbrane iz zajetih paketov na terminalskem zaslonu, v berljivi obliki.

Tcpdump cheatsheet

Tcpdump se lahko uporablja z drugimi ukazi Linux, kot so grep, sed itd., za pridobivanje koristnih informacij. Tu je nekaj koristnih kombinacij in ključnih besed, združenih v uporabi s tcpdump, da dobite dragocene informacije.

Izvleček uporabniških agentov HTTP:

$ sudo tcpdump -n | grep "Uporabniški agent:"

Zahtevane URL-je prek HTTP-ja lahko spremljate s pomočjo tcpdump, kot so:

$ sudo tcpdump -v -n | egrep -i "POST / | GET / | Gostitelj:"

Lahko tudi Izvlecite gesla HTTP v zahtevah POST

$ sudo tcpdump -nn -l | egrep -i "POST / | pwd = | passwd = | geslo = | Gostitelj:"

Piškotke strežnika ali odjemalca lahko izvlečete s pomočjo:

$ sudo tcpdump -n | egrep -i 'Set-Cookie | Gostitelj: | Piškotek:'

Zajemite zahteve in odgovore DNS z uporabo:

$ sudo tcpdump -i wlp58s0 -s0 vrata 53

Natisni vsa gesla v navadnem besedilu:

$ sudo tcpdump vrata http ali vrata ftp ali vrata smtp ali vrata imap ali vrata pop3 ali vrata telnet -l -A | egrep -i -B5 'pass = | pwd = | log = | login = | user = | user | uporabniško ime = | pw = | passw = | passwd = | geslo = | pass: | user: | uporabniško ime: | geslo: | prijava: | pass '

Pogosti filtri Tcpdump

• -A Prikaže pakete v formatu ASCII.
• -c Število paketov za zajem.
• -štetje Natisnite število paketov samo pri branju zajete datoteke.
• -e Natisnite naslove MAC in glave na ravni povezave.
• -h ali -pomoč Natisne informacije o različici in uporabi.
• -različico Pokaži samo informacije o različici.
• -jaz Določite omrežni vmesnik, na katerega želite zajeti.
• -K Preprečite poskuse preverjanja kontrolnih vsot katerega koli paketa. Doda hitrost.
• -m Določite modul za uporabo.
• -n Ne pretvarjajte naslovov (i.e., naslovi gostitelja, številke vrat itd.) na imena.
• -številko Na začetek vsake vrstice natisnite neobvezno številko paketa.
• -str Prepovejte prehod vmesnika v neskladen način.
• -V Izberite smer zajemanja paketov. Pošljite ali prejmite.
• -q Tihi / hitri izhod. Tiski Manj informacij. Izhodi so krajši.
• -r Uporablja se za branje paketov s pcap-ja .
• -t Ne natisnite časovnega žiga na vsaki vrstici izpisa.
• -v Natisne več informacij o izhodu.
• -w Zapiši neobdelane pakete v datoteko.
• -x Natisne izhod ASCII.
• -X Natisne ASCII s šestnajstiško.
• -seznam-vmesniki Prikaže vse razpoložljive omrežne vmesnike, kjer lahko tcpdump zajame pakete.

Prenehanje

Tcpdump je zelo razširjeno orodje, ki se uporablja pri raziskavah in aplikacijah Varnost / mreženje. Edina pomanjkljivost tcpdump je "Brez grafičnega uporabniškega vmesnika", vendar je predobra, da se ne bi uvrstila med lestvice najboljših. Kot piše Daniel Miessler, »Analizatorji protokolov, kot je Wireshark, so odlični, a če želite resnično obvladati paketno fu, morate najprej postati eno s tcpdump."