Phenquestions
„Tcpdump“ yra paketų analizatorius, naudojamas diagnozuoti ir analizuoti tinklo problemas. Jis fiksuoja tinklo srautą, einantį per jūsų įrenginį, ir peržiūri jį. „Tcpdump“ įrankis yra galingas įrankis tinklo problemoms šalinti. Jame yra daugybė galimybių, todėl tai yra universalus komandinės eilutės įrankis tinklo problemoms spręsti.
Šis įrašas yra išsamus „tcpdump“ įrankio vadovas, kuriame pateikiamas jos diegimas, bendros funkcijos ir naudojimas su skirtingomis parinktimis. Pradėkime nuo diegimo:
Kaip įdiegti „tcpdump“:
Daugelyje paskirstymų „tcpdump“ išeina iš dėžutės ir norėdami jį patikrinti, naudokite:
$ kuris tcpdump
Jei jo nėra jūsų platintuve, įdiekite jį naudodami:
$ sudo apt install tcpdumpPirmiau nurodyta komanda bus naudojama Debian pagrįstiems paskirstymams, tokiems kaip „Ubuntu“ ir „LinuxMint“. „Redhat“ ir „CentOS“ naudokite:
$ sudo dnf įdiekite tcpdumpKaip užfiksuoti paketus naudojant „tcpdump“:
Paketams užfiksuoti gali būti naudojamos įvairios sąsajos. Norėdami gauti sąsajų sąrašą, naudokite:
$ sudo tcpdump -D
Arba tiesiog naudokite „any“ su „tcpdump“ komanda, kad gautumėte paketus iš aktyvios sąsajos. Norėdami pradėti naudoti paketų fiksavimą:
$ sudo tcpdump - sąsaja su bet kuria
Pirmiau nurodyta komanda stebi paketus iš visų aktyvių sąsajų. Paketai bus nuolat griebiami, kol vartotojas nenutrauks (ctrl-c).
Mes taip pat galime apriboti užfiksuojamų paketų skaičių naudodami „-c“ vėliavą, kuri žymi „count“.Jei norite užfiksuoti 3 paketus, naudokite:
$ sudo tcpdump -i bet koks -c3
Pirmiau nurodyta komanda yra naudinga filtruojant konkretų paketą. Be to, norint pašalinti ryšio problemas, reikia užfiksuoti tik kelis pradinius paketus.
„tcpdump“Komanda pagal numatytuosius nustatymus užfiksuoja paketus su IP ir prievadų pavadinimais, tačiau norint išvalyti netvarką ir palengvinti išvestį; vardus galima išjungti naudojant „-n“Ir„-nnUosto parinkčiai:
$ sudo tcpdump -i bet koks -c3 -nn
Kaip parodyta pirmiau pateiktame išvestyje, buvo pašalinti IP ir prievadų pavadinimai.
Kaip suprasti informaciją apie užfiksuotą paketą:
Norėdami sužinoti apie įvairius užfiksuoto paketo laukus, paimkime TCP paketo pavyzdį:
Pakete gali būti įvairių laukų, tačiau bendrieji laukai rodomi aukščiau. Pirmasis laukas „09:48:18.960683,“Reiškia laiką, kai gaunamas paketas. Toliau ateina IP adresai; pirmasis IP [216.58.209.130] yra šaltinio IP ir antrasis IP [10.0.2.15.55812] yra paskirties IP. Tada gausite vėliavą [P.]; toliau pateikiamas tipiškų vėliavų sąrašas:
| Vėliava | Tipas | apibūdinimas |
| „.“ | ACK | Reiškia pripažinimą |
| S | SYN | Pažymėti, kaip pradėti ryšį |
| F | FIN | Uždarojo ryšio žymėjimas |
| P | PUSH | Rodo siuntėjo duomenis |
| R | RST | Ryšio nustatymas iš naujo |
Toliau seka eilės numeris “seka 185: 255“. Klientas ir serveris naudoja 32 bitų eilės numerį duomenims palaikyti ir stebėti.
„ack“Yra vėliava; jei jis yra 1, tai reiškia, kad patvirtinimo numeris galioja, ir imtuvas tikisi kito baito.
Lango numeris nurodo buferio dydį. „laimėk 65535“Reiškia duomenų kiekį, kurį galima buferizuoti.
Ir galų gale ateina ilgis [70] paketo baitais, o tai yra skirtumas185: 255“.
Paketų filtravimas norint išspręsti tinklo problemas:
„Tcpdump“ įrankis užfiksuoja šimtus paketų ir dauguma jų yra mažiau svarbūs, todėl labai sunku gauti reikiamą informaciją trikčių šalinimui. Tokiu atveju filtravimas atliks savo vaidmenį. Pavyzdžiui, trikčių šalinimo metu, jei nesidomi tam tikru srauto tipu, galite jį filtruoti naudodami „tcpdump“, kuris pateikiamas filtruojant paketus pagal IP adresus, prievadus ir protokolus.
Kaip užfiksuoti paketą naudojant pagrindinio kompiuterio pavadinimą su komanda tcpdump:
Norėdami gauti paketą tik iš konkretaus pagrindinio kompiuterio, naudokite:
$ sudo tcpdump -i bet koks -c4 kompiuteris 10.0.2.15
Jei norite sulaukti tik vienos krypties srauto, tada naudokitesrc“Ir„dst“Parinktys vietojevedėjas.“
Kaip užfiksuoti paketą naudojant uosto numerį su komanda tcpdump:
Norėdami filtruoti paketus su prievado numeriu, naudokite:
$ sudo tcpdump -i bet koks -c3 -nn prievadas 443
„443“ yra HTTPS prievado numeris.
Kaip užfiksuoti paketą naudojant protokolą su komanda tcpdump:
Naudodami komandą „tcpdump“, galite filtruoti paketus pagal bet kurį protokolą, pvz., Udp, icmp, arp ir kt. Tiesiog įveskite protokolo pavadinimą:
$ sudo tcpdump -i bet koks -c6 udp
Minėtos komandos užfiksuos tik paketus, priklausančius „udp“ protokolui.
Kaip sujungti filtravimo parinktis naudojant loginius operatorius:
Skirtingas filtravimo parinktis galima sujungti naudojant tokius loginius operatorius kaip „ir / arba“:
$ sudo tcpdump -i bet koks -c6 -nn pagrindinis kompiuteris 10.0.2.15 ir 443 uostas
Kaip saugoti užfiksuotus duomenis:
Paimtus duomenis galima įrašyti į failą, kad vėliau juos būtų galima stebėti, o tam bus naudojama parinktis „-w“, o „w“ reiškia „rašyti“:
$ sudo tcpdump -i bet kokie -c5 -w packetData.pcap
Failo išplėtimas būtų „.„Pcap“, kuris reiškia „paketų gaudymas.Kai užfiksuojama, failas bus išsaugotas jūsų vietiniame diske. Šio failo negalima atidaryti ar perskaityti naudojant jokią teksto rengyklės programą. Norėdami jį perskaityti, naudokite-r“Vėliava su„ tcpdump “:
$ tcpdump -r packetData.pcap
Išvada:
„Tcpdump“ yra vertingas ir lankstus įrankis tinklo srautui fiksuoti ir analizuoti, kad būtų galima pašalinti tinklo problemas. Šio vadovo dėmesio centre yra išmokti pagrindinį ir išplėstinį komandinės eilutės įrankio „tcpdump“ naudojimą. Bet jei jums sunku, tada yra mažiau sudėtinga GUI programa, vadinama „Wireshark“, kuri atlieka tą patį darbą, bet su įvairiomis papildomomis funkcijomis.
