Más gá duit paicéid líonra a anailísiú nó a thascradh in Linux, is fearr an fóntas consóil a úsáid chuige seo. tcpdump. Ach tagann an fhadhb chun cinn sa bhainistíocht sách casta. Dealraíonn sé go mbeidh sé deacair do ghnáth-úsáideoir oibriú leis an bhfóntas, ach níl sé seo ach ar an gcéad amharc. Míneoidh an t-alt conas a eagraítear an t-ábhar, cén chomhréir atá aige, conas é a úsáid, agus tabharfar samplaí iomadúla dá úsáid.
Féach freisin: Ranganna Teagaisc chun nasc Idirlín a bhunú i Ubuntu, Debian, Ubuntu Server
Suiteáil
I measc fhormhór na bhforbróirí de chórais oibriúcháin bunaithe ar Linux tá an fóntais tppdump sa liosta de na cinn réamh-suiteáilte, ach más rud é nach bhfuil sé i do dháileadh ar chúis éigin, is féidir leat é a íoslódáil agus a shuiteáil i gcónaí "Críochfort". Má tá do OS bunaithe ar Debian, agus is é seo Ubuntu, Linux Mint, Kali Linux agus a leithéid, is gá duit an t-ordú seo a rith:
suiteáil tcpdump sudo apt
Nuair atá tú ag suiteáil ní mór duit pasfhocal a chur isteach. Tabhair faoi deara le do thoil, nuair nach bhfuil sé ar taispeáint, chun an tsuiteáil a dheimhniú, ní mór duit an carachtar a iontráil "D" agus brúigh Cuir isteach.
Má tá Red Hat, Fedora nó CentOS agat, beidh an t-ordú suiteála mar seo:
shuiteáil sudo yam tcpdump
Tar éis an fóntais a shuiteáil, is féidir leat í a úsáid láithreach. Pléifear é seo agus i bhfad níos mó níos déanaí sa téacs.
Féach freisin: Treoir Suiteála PHP do Ubuntu Server
Comhréir
Cosúil le haon ordú eile, tá a chomhréir féin ag tcpdump. Is eol duit é, is féidir leat na paraiméadair riachtanacha go léir a leagan síos a chuirfear san áireamh agus an t-ordú á fhorghníomhú. Is é an chomhréir:
tcpdump options -i scagairí comhéadain
Agus an t-ordú á úsáid agat, ní mór duit an comhéadan a shonrú le rianú. Ní athróga éigeantacha iad na scagairí agus na roghanna, ach ceadaíonn siad cumraíocht níos solúbtha.
Roghanna
Cé nach gá an rogha a shonrú, is gá fós na cinn atá ar fáil a liostú. Ní thaispeánann an tábla a liosta iomlán, ach na cinn is coitianta, ach tá siad níos mó ná go leor chun an chuid is mó de na tascanna a réiteach.
| Rogha | Míniú |
|---|---|
| -A | Is féidir leat pacáistí a shórtáil i bhformáid ASCII |
| -l | Cuireann sé feidhm scrolla leis. |
| -i | Ní mór duit an comhéadan líonra a ndéanfar monatóireacht air a shonrú tar éis duit dul isteach. Chun tús a chur le rianú gach comhéadain, clóscríobh an focal "aon" tar éis an rogha. |
| -c | Críochnaíonn sé an próiseas rianaithe tar éis an líon pacáistí sonraithe a sheiceáil. |
| -w | Cruthaíonn comhad téacs le tuarascáil fíoraithe. |
| -e | Taispeánann sé leibhéal nasc idirlín an phaicéid sonraí. |
| -L | Ní thaispeánann sé ach na prótacail sin a dtacaíonn an comhéadan líonra sonraithe leo. |
| -C | Cruthaíonn sé comhad eile agus pacáiste á scríobh aige má tá a mhéid níos mó ná an ceann sonraithe. |
| -r | Osclaíonn sé comhad le haghaidh léitheoireachta a cruthaíodh leis an rogha -w. |
| -j | Bainfear úsáid as formáid TimeStamp chun pacáistí a thaifeadadh. |
| -J | Is féidir leat na formáidí ar fad atá ar fáil a fheiceáil TimeStamp |
| -G | Úsáidtear é chun comhad a chruthú le logaí. Éilíonn an rogha luach sealadach freisin, agus ina dhiaidh sin cruthófar logáil nua |
| -v, -vv, -vvv | Ag brath ar líon na gcarachtar sa rogha, beidh aschur an ordaithe níos mionsonraithe (tá méadú díreach i gcomhréir le líon na gcarachtar) |
| -f | Taispeánann an t-aschur ainm fearainn an seoladh IP |
| -F | Cuireann sé ar do chumas faisnéis nach léann an comhéadan líonra, ach ón gcomhad sonraithe a léamh |
| -D | Gach comhéadan líonra is féidir a úsáid a léiriú. |
| -n | Dírghníomhaíonn sé taispeáint ainmneacha fearainn |
| -Z | Sonraíonn sé an t-úsáideoir faoina gcruthófar gach comhad. |
| -K | Scipeáil anailís sheiceála |
| -q | Léiriú ar fhaisnéis ghearr |
| -H | Aimsítear ceanntásca 802.11 |
| -I | Úsáidtear é nuair a bhíonn paicéid á ngabháil sa mhodh monatóireachta. |
Tar éis dóibh na roghanna a scrúdú, thíos téimid go díreach chuig a n-iarratais. Idir an dá linn, breithneofar scagairí.
Scagairí
Mar a luadh ag tús an ailt, is féidir leat scagairí a chur leis an gcomhréir tppdump. Anois is é an ceann is mó tóir orthu ná:
| Scagaire | Míniú |
|---|---|
| óstach | Sonraíonn an t-ainm óstach. |
| glan | Sonraíonn an subnet agus an líonra IP |
| ip | Sonraíonn an seoladh prótacail |
| src | Taispeánann sé na paicéid a seoladh ón seoladh sonraithe |
| dst | Taispeánann sé na paicéid a fuarthas ag an seoladh sonraithe. |
| airp, udp, tcp | Scagadh ag ceann de na prótacail |
| calafort | Taispeánann sé faisnéis a bhaineann le calafort ar leith. |
| agus, nó | Úsáidtear é chun scagairí iomadúla a chur le chéile in ordú. |
| níos lú, níos mó | Pacáistí aschuir atá níos lú nó níos mó ná an méid sonraithe |
Is féidir gach ceann de na scagairí thuas a chomhcheangal lena chéile, mar sin ní bheidh ort ach an t-eolas is mian leat a fheiceáil nuair a bhíonn ordú á eisiúint agat. Chun úsáid na scagairí thuas a thuiscint níos mine, is fiú samplaí a thabhairt.
Féach freisin: Orduithe a úsáidtear go minic i gcríochfort Linux
Samplaí úsáide
Liostófar na roghanna comhréireachta tcpdump a úsáidtear go minic anois. Ní féidir iad ar fad a liostú, toisc gur féidir a n-athruithe a bheith gan teorainn.
Féach ar liosta an chomhéadain
Moltar go ndéanfadh gach úsáideoir seiceáil ar dtús ar an liosta de na comhéadain líonra go léir is féidir a rianú. Ón tábla thuas tá a fhios againn gur gá duit an rogha a úsáid chun é seo a dhéanamh -D, mar sin, sa teirminéal, rith an t-ordú seo a leanas:
sudo tcpdump -D
Sampla:
Mar a fheiceann tú, tá ocht gcomhéadan sa sampla is féidir a fheiceáil ag úsáid an t-ordú tcpdump. Soláthróidh an t-alt samplaí de ppp0, is féidir leat aon cheann eile a úsáid.
Gnáthghabháil tráchta
Más gá duit comhéadan líonra amháin a rianú, is féidir leat é seo a dhéanamh leis an rogha -i. Ná déan dearmad ainm an chomhéadain a chur isteach tar éis dó dul isteach ann. Seo sampla de ordú den sórt sin a fhorghníomhú:
sudo tcpdump -i ppp0
Tabhair faoi deara: ní mór duit "sudo" a chur isteach roimh an gceannas féin, toisc go bhfuil ceart an mhaoirseora de dhíth air.
Sampla:
Tabhair faoi deara: tar éis duit Cuir isteach sa “Críochfort”, taispeánfar na paicéid idircheaptha go leanúnach. Chun stop a chur lena sreabhadh, ní mór duit an príomh-mheascán Ctrl + C. a bhrú.
Má ritheann tú an t-ordú gan roghanna agus scagairí breise, feicfidh tú an fhormáid seo a leanas chun paicéid rianaithe a thaispeáint:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Bratacha [P.], seq 1: 595, ack 1118, buaigh 6494, roghanna [nop, nop, TS val 257060077 ecr 697597623], fad 594
Áit a bhfuil dath aibhsithe:
- gorm - an t-am a bhfaightear an pacáiste;
- leagan oráiste - prótacal;
- seoladh an tseoltóra ghlais;
- corcra - seoladh an fhaighteora;
- liath - faisnéis bhreise faoi tcp;
- méid dearg - paicéad (ar taispeáint i mbearta).
Tá an cumas ag an gcomhréir seo aschur san fhuinneog "Críochfort" gan roghanna breise a úsáid.
Gabháil trácht leis an rogha -v
Mar is eol don tábla, an rogha -v is féidir leat an méid faisnéise a mhéadú. Lig dúinn smaoineamh ar shampla. Seiceáil an comhéadan céanna:
sudo tcpdump -v -i ppp0
Sampla:
Anseo is féidir leat a fheiceáil go raibh an líne seo a leanas le feiceáil san aschur:
IP (tos 0x0, ttl 58, id 30675, fritháirithe 0, bratacha [DF], proto TCP (6), fad 52
Áit a bhfuil dath aibhsithe:
- leagan oráiste - prótacal;
- gorm - saol an phrótacail;
- glas - fad na header allamuigh;
- leagan corcra den phacáiste tcp;
- méid dearg - paicéad.
Chomh maith leis sin sa chomhréir orduithe is féidir leat an rogha a scríobh -vv nó -vvv, a mhéadóidh tuilleadh eolais ar an scáileán.
An rogha -w agus -r
Luaigh an tábla roghanna an fhéidearthacht na sonraí aschuir go léir a shábháil i gcomhad ar leith ionas gur féidir iad a fheiceáil níos déanaí. Tá an rogha freagrach as seo. -w. Tá sé simplí go leor é a úsáid, ach é a chur isteach san ordú agus ansin cuir isteach ainm an chomhaid sa todhchaí leis an síneadh ".pcap". Smaoinigh ar an sampla go léir:
sudo tcpdump -i ppp0 -w file.pcap
Sampla:
Tabhair faoi deara: le linn duit logaí a scríobh chuig comhad, ní thaispeántar aon téacs ar an scáileán "Críochfort".
Nuair is mian leat an t-aschur taifeadta a fheiceáil, ní mór duit an rogha a úsáid -rina dhiaidh sin ainm an chomhaid a taifeadadh roimhe seo. Cuirtear i bhfeidhm é gan roghanna agus scagairí eile:
sudo tcpdump -r file.pcap
Sampla:
Tá an dá rogha seo foirfe i gcásanna ina gcaithfidh tú méideanna móra téacs a shábháil le haghaidh anailíse ina dhiaidh sin.
Scagadh IP
Ón tábla scagtha, tá a fhios againn sin dst is féidir leat na pacáistí sin a fuarthas ag an seoladh atá sonraithe sa chomhréir ordaithe a thaispeáint ar an scáileán consóil. Dá bhrí sin, tá sé an-áisiúil na paicéid a fhaigheann do ríomhaire a fheiceáil. Chun seo a dhéanamh, ní gá don fhoireann ach do sheoladh IP a shonrú:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Sampla:
Mar a fheiceann tú, seachas dst, sa fhoireann, chláraigh muid an scagaire freisin ip. I bhfocail eile, dúirt muid leis an ríomhaire go dtabharfadh sé aird ar a seoladh IP, agus ní ar pharaiméadair eile nuair a bhíonn paicéid á roghnú.
Trí IP, is féidir leat paicéid a scagadh agus a sheoladh. Sa sampla cuirimid ár IP arís. Is é sin, déanfaimid rianú anois ar na paicéid a sheoltar ónár ríomhaire chuig seoltaí eile. Chun seo a dhéanamh, rith an t-ordú seo a leanas:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Sampla:
Mar a fheiceann tú, d'athraíomar an scagaire sa chomhréir orduithe. dst ar srcag insint don mheaisín an IP a chuardach le haghaidh IP.
HOST ag scagadh
De réir analaí le IP sa fhoireann, is féidir linn scagaire a shonrú óstachchun paicéid a fhiail amach le hús suime. Is é sin, sa chomhréir, in ionad seoladh IP an tseoltóra / an fhaighteora, beidh ort a óstach a shonrú. Tá sé seo mar seo:
sudo tcpdump -i ppp0 dst óstach google-public-dns-a.google.com
Sampla:
Ar an íomhá is féidir leat sin a fheiceáil "Críochfort" Ní thaispeántar ach na paicéid sin a seoladh ónár IP go óstach google.com. Mar is féidir leat a fheiceáil, in ionad óstach google, is féidir leat dul isteach in aon cheann eile.
Mar is amhlaidh le scagadh IP, is é an chomhréir: dst a chur in ionad srcChun na paicéid a sheoltar chuig do ríomhaire a fheiceáil:
sudo tcpdump -i ppp0 óstach src google-public-dns-a.google.com
Nóta: ní mór an scagaire óstach a bheith tar éis dst nó src, ar shlí eile ginfidh an t-ordú an earráid. I gcás scagadh IP, ar a mhalairt, tá dst agus src os comhair scagaire an IP.
Scagaire agus / nó
Más gá duit roinnt scagairí a úsáid in aon ordú amháin, ansin caithfidh tú scagaire a chur i bhfeidhm. agus nó nó (braitheann sé ar an gcás). Trí na scagairí a shonrú sa chomhréir agus iad a dheighilt leis na ráitis seo, déanann tú “obair” mar cheann. I sampla, tá sé mar seo:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 nó ip src 95.47.144.254
Sampla:
Ón chomhréir orduithe is féidir leat a fheiceáil gur mhaith linn a thaispeáint "Críochfort" na paicéid go léir a seoladh chuig an seoladh 95.47.144.254 agus paicéid a fuarthas ag an seoladh céanna. Is féidir leat roinnt athróg a athrú sa slonn seo freisin. Mar shampla, in ionad IP, sonraigh HOST nó cuir in ionad na seoltaí iad féin go díreach.
Scagaire an chalafoirt agus an phortráid
Scagaire calafort foirfe do nuair is gá duit eolas a fháil faoi phaicéid le calafort ar leith. Mar sin, mura gá duit ach freagraí nó ceisteanna DNS a fheiceáil, ní mór duit calafort 53 a shonrú:
sudo tcpdump -vv -i ppp0 port 53
Sampla:
Más mian leat féachaint ar phacáistí http, ní mór duit dul isteach i gcalafort 80:
sudo tcpdump -vv -i ppp0 port 80
Sampla:
I measc rudaí eile, is féidir raon na gcalafort a rianú láithreach bonn. Chun seo a dhéanamh, cuir an scagaire i bhfeidhm tairseach:
sudo tcpdump portrange 50-80
Mar a fheiceann tú, i gcomhar leis an scagaire tairseach Ní gá roghanna breise a shonrú. Just a leagtar ar an raon.
Prótacal Scagtha
Ní féidir leat ach an trácht a fhreagraíonn d'aon phrótacal a thaispeáint. Chun seo a dhéanamh, bain úsáid as ainm an phrótacail seo mar scagaire. Breathnaímis ar shampla udp:
sudo tcpdump -vvv -i ppp0 udp
Sampla:
Mar a fheiceann tú san íomhá, tar éis duit an t-ordú a fhorghníomhú "Críochfort" níor taispeánadh ach paicéid leis an bprótacal udp. Dá réir sin, is féidir leat daoine eile a scagadh, mar shampla, arp:
sudo tcpdump -vvv -i ppp0 arp
nó tcp:
sudo tcpdump -vvv -i ppp0 tcp
Scagaire glan
Oibreoir glan cabhraíonn sé le paicéid a scagadh bunaithe ar ainmniú a líonra. Tá sé chomh furasta le húsáid mar chuid eile - ní mór duit an tréith a shonrú sa chomhréir glan, ansin cuir isteach seoladh an líonra. Seo sampla de ordú den sórt sin:
sudo tcpdump -i ppp0 net 192.168.1.1
Sampla:
Scag de réir mhéid an phacáiste
Níor mheasamar dhá scagaire níos suimiúla: níos lú agus níos mó. Ón tábla le scagairí, tá a fhios againn go bhfreastalaíonn siad ar níos mó paicéad sonraí a aschur (níos lú) nó níos lú (níos mó) an méid a shonraítear tar éis an tréith a iontráil.
Cuir in iúl nach dteastaíonn uainn ach monatóireacht a dhéanamh ar phaicéid nach mó ná 50 giotán, ansin beidh cuma mar seo ar an ordú:
sudo tcpdump -i ppp0 níos lú 50
Sampla:
Anois taispeáin isteach "Críochfort" paicéid atá níos mó ná 50 giotán:
sudo tcpdump -i ppp0 níos mó 50
Sampla:
Mar a fheiceann tú, úsáidtear iad go cothrom, is é an t-aon difríocht atá ann ná ainm an scagaire.
Conclúid
Ag deireadh an ailt is féidir linn a thabhairt i gcrích go bhfuil an fhoireann tcpdump - Is uirlis iontach é seo ar féidir leat aon phaicéad sonraí a tharchuirtear thar an Idirlíon a rianú. Ach chuige sin ní leor an t-ordú féin a chur isteach "Críochfort". Ní bhainfear amach an toradh inmhianaithe ach amháin má úsáideann tú gach cineál roghanna agus scagairí, chomh maith lena gcomhcheangail.
