Phenquestions
"Tcpdump" je analizator paketov in se uporablja za diagnosticiranje in analizo omrežnih težav. Zajame omrežni promet, ki teče skozi vašo napravo, in ga pregleda. Orodje "tcpdump" je močno orodje za odpravljanje težav z omrežjem. Na voljo je z veliko možnostmi, zaradi česar je vsestranski pripomoček za ukazno vrstico za odpravljanje težav z omrežjem.
Ta objava je podroben vodnik o pripomočku "tcpdump", ki vključuje njegovo namestitev, skupne funkcije in uporabo z različnimi možnostmi. Začnimo z namestitvijo:
Kako namestiti “tcpdump”:
V številnih distribucijah se prikaže "tcpdump" in ga preverite s pomočjo:
$ kateri tcpdump
Če je ni mogoče najti v vaši distribuciji, jo namestite s pomočjo:
$ sudo apt namestite tcpdumpZgornji ukaz bo uporabljen za distribucije na osnovi Debiana, kot sta Ubuntu in LinuxMint. Za “Redhat” in “CentOS” uporabite:
$ sudo dnf namestite tcpdumpKako zajeti pakete s tcpdump:
Za zajem paketov je mogoče uporabiti različne vmesnike. Če želite dobiti seznam vmesnikov, uporabite:
$ sudo tcpdump -D
Ali pa preprosto uporabite "kateri koli" z ukazom "tcpdump", da dobite pakete iz aktivnega vmesnika. Če želite začeti z zajemom paketov:
$ sudo tcpdump --interface kateri koli
Zgornji ukaz sledi paketom iz vseh aktivnih vmesnikov. Paketi se bodo neprestano prijeli, dokler uporabnik ne prekine (ctrl-c).
Število paketov, ki jih je treba zajeti, lahko omejimo tudi z zastavico "-c", ki označuje "štetje".”Če želite zajeti 3 pakete, uporabite:
$ sudo tcpdump -i kateri koli -c3
Zgornji ukaz je uporaben za filtriranje določenega paketa. Poleg tega je za odpravljanje težav s povezljivostjo potrebno zajeti le nekaj začetnih paketov.
„tcpdump”Ukaz privzeto zajema pakete z imeni IP in vrat, vendar za čiščenje, nered in olajšanje razumevanja izhoda; imena lahko onemogočite s pomočjo-n"In"-št"Za možnost pristanišča:
$ sudo tcpdump -i kateri koli -c3 -nn
Kot je prikazano v zgornjem izhodu, so bila imena IP in vrat odstranjena.
Kako razumeti informacije o zajetem paketu:
Če želite izvedeti več o različnih poljih zajetega paketa, si oglejmo primer paketa TCP:
Paket ima lahko različna polja, splošna pa so prikazana zgoraj. Prvo polje, "09:48:18.960683,”Predstavlja čas, ko je paket prejet. Sledijo naslovi IP; prvi IP [216.58.209.130] je izvorni IP in drugi IP [10.0.2.15.55812] je ciljni IP. Potem boste dobili zastavo [P.]; spodaj je naveden seznam tipičnih zastav:
| Zastava | Tip | Opis |
| “." | ACK | Označuje potrditev |
| S | SYN | Zastavica za vzpostavitev povezave |
| F | FIN | Zastavica za zaprto povezavo |
| P | POTISNI | Označuje potiskanje podatkov pošiljatelja |
| R | RST | Ponastavitev povezave |
Nato sledi zaporedna številka “naslednja 185: 255". Odjemalec in strežnik uporabljata 32-bitno zaporedno številko za vzdrževanje in spremljanje podatkov.
„ack"Je zastava; če je 1, to pomeni, da je potrditvena številka veljavna, sprejemnik pa pričakuje naslednji bajt.
Številka okna označuje velikost medpomnilnika. “zmaga 65535"Pomeni količino podatkov, ki jih je mogoče medpomniti.
In na koncu pride dolžina [70] paketa v bajtih, kar je razlika "185: 255".
Filtriranje paketov za odpravljanje težav z omrežjem:
Orodje "tcpdump" zajame na stotine paketov, večina pa je manj pomembnih, zato je veliko bolj zapleteno dobiti želene informacije za odpravljanje težav. V tem primeru bo filtriranje igralo svojo vlogo. Na primer, med odpravljanjem težav, če vas določena vrsta prometa ne zanima, ga lahko filtrirate s pomočjo »tcpdump«, ki je priložen filtriranju paketov glede na naslove IP, vrata in protokole.
Kako zajeti paket z imenom gostitelja z ukazom tcpdump:
Če želite paket dobiti samo od določenega gostitelja, uporabite:
$ sudo tcpdump -i kateri koli gostitelj -c4 10.0.2.15
Če želite dobiti le enosmerni promet, uporabite »src"In"dst"Možnosti namesto"gostitelj."
Kako zajeti paket z uporabo številke vrat z ukazom tcpdump:
Za filtriranje paketov s številko vrat uporabite:
$ sudo tcpdump -i katero koli -c3 -nn vrata 443
"443" je številka vrat HTTPS.
Kako zajeti paket z uporabo protokola z ukazom tcpdump:
Z ukazom „tcpdump“ lahko filtrirate pakete po katerem koli protokolu, kot so udp, icmp, arp itd. Preprosto vnesite ime protokola:
$ sudo tcpdump -i kateri koli -c6 udp
Zgornji ukazi bodo zajeli samo pakete, ki pripadajo protokolu “udp”.
Kako združiti možnosti filtriranja z uporabo logičnih operatorjev:
Različne možnosti filtriranja je mogoče kombinirati z uporabo logičnih operatorjev, kot sta "in / ali":
$ sudo tcpdump -i kateri koli -c6 -nn gostitelj 10.0.2.15 in vrata 443
Kako shraniti zajete podatke:
Zagrabljene podatke lahko shranite v datoteko, da jih pozneje nadzirate, pri čemer bo uporabljena možnost "-w", "w" pa pomeni "write":
$ sudo tcpdump -i kateri koli -c5 -w packetData.pcap
Razširitev datoteke bi bila ".pcap, "kar pomeni" zajem paketov.”Ko je zajem končan, se datoteka shrani na vaš lokalni pogon. Te datoteke ni mogoče odpreti ali prebrati z nobenim programom za urejanje besedila. Če ga želite prebrati, uporabite-r”Zastavica z“ tcpdump ”:
$ tcpdump -r packetData.pcap
Zaključek:
»Tcpdump« je dragoceno in prilagodljivo orodje za zajemanje in analiziranje omrežnega prometa za odpravljanje težav z omrežjem. Točka vodnika je namenjena spoznavanju osnovne in napredne uporabe pripomočka za ukazno vrstico „tcpdump“. Če pa vam je težko, potem obstaja manj zapleten program, ki temelji na GUI, imenovan "Wireshark", ki opravlja skoraj enako delo, vendar z različnimi dodatnimi funkcijami.
