Os oes angen i chi ddadansoddi neu ryng-gipio pecynnau rhwydwaith yn Linux, mae'n well defnyddio'r cyfleuster consol ar gyfer hyn. tcpdump. Ond mae'r broblem yn codi yn ei rheolaeth gymharol gymhleth. Bydd yn ymddangos yn anghyfleus i ddefnyddiwr cyffredin weithio gyda'r cyfleustodau, ond dim ond ar yr olwg gyntaf mae hyn. Bydd yr erthygl yn esbonio sut y trefnir tppdump, pa gystrawen sydd ganddi, sut i'w defnyddio, a rhoddir sawl enghraifft o'i defnydd.
Gweler hefyd: Tiwtorialau ar gyfer sefydlu cysylltiad Rhyngrwyd yn Ubuntu, Debian, Ubuntu Server
Gosod
Mae'r rhan fwyaf o ddatblygwyr systemau gweithredu sy'n seiliedig ar Linux yn cynnwys y cyfleuster tcpdump yn y rhestr o rai sydd wedi'u gosod ymlaen llaw, ond os nad yw yn eich dosbarthiad am ryw reswm, gallwch ei lawrlwytho a'i osod bob amser "Terfynell". Os yw'ch OS wedi'i leoli ar Debian, ac mae hyn yn Ubuntu, Linux Mint, Kali Linux ac yn y blaen, mae angen i chi redeg y gorchymyn hwn:
sudo apt gosod tcpdump
Wrth osod mae angen i chi roi cyfrinair. Sylwch, pan nad yw wedi'i arddangos, hefyd i gadarnhau'r gosodiad, rhaid i chi nodi'r cymeriad "D" a'r wasg Rhowch i mewn.
Os oes gennych Red Hat, Fedora neu CentOS, bydd y gorchymyn gosod yn edrych fel hyn:
gosod sam yam gosod tcpdump
Ar ôl gosod y cyfleustodau, gallwch ei ddefnyddio ar unwaith. Trafodir hyn a llawer mwy yn nes ymlaen yn y testun.
Gweler hefyd: PHP Installation Guide ar gyfer Ubuntu Server
Cystrawen
Fel unrhyw orchymyn arall, mae gan tcpdump ei gystrawen ei hun. Gan ei adnabod, gallwch osod yr holl baramedrau angenrheidiol a fydd yn cael eu hystyried wrth weithredu'r gorchymyn. Y gystrawen yw:
tcpdump options -i hidlwyr rhyngwyneb
Wrth ddefnyddio'r gorchymyn, rhaid i chi nodi'r rhyngwyneb i'w olrhain. Nid yw hidlyddion ac opsiynau yn newidynnau gorfodol, ond maent yn caniatáu cyfluniad mwy hyblyg.
Opsiynau
Er nad oes angen nodi'r opsiwn, mae'n dal yn angenrheidiol rhestru'r rhai sydd ar gael. Nid yw'r tabl yn dangos eu rhestr gyfan, ond dim ond y rhai mwyaf poblogaidd, ond maent yn fwy na digon i ddatrys y rhan fwyaf o'r tasgau.
| Opsiwn | Diffiniad |
|---|---|
| -A | Yn eich galluogi i ddidoli pecynnau ar fformat ASCII |
| -l | Yn ychwanegu swyddogaeth sgrolio. |
| -i | Ar ôl mynd i mewn, bydd angen i chi nodi'r rhyngwyneb rhwydwaith a gaiff ei fonitro. I ddechrau olrhain pob rhyngwyneb, teipiwch y gair "any" ar ôl yr opsiwn. |
| -c | Cwblhau'r broses olrhain ar ôl gwirio'r nifer penodedig o becynnau. |
| -w | Yn cynhyrchu ffeil destun gydag adroddiad dilysu. |
| -e | Dangos lefel cysylltiad rhyngrwyd y pecyn data. |
| -L | Yn dangos dim ond y protocolau hynny sy'n cael eu cefnogi gan y rhyngwyneb rhwydwaith penodedig. |
| -C | Creu ffeil arall wrth ysgrifennu pecyn os yw ei faint yn fwy na'r maint penodedig. |
| -r | Yn agor ffeil ar gyfer darllen a grëwyd gyda'r opsiwn -w. |
| -j | Defnyddir fformat TimeStamp ar gyfer cofnodi pecynnau. |
| -J | Yn eich galluogi i weld yr holl fformatau sydd ar gael TimeStamp |
| -G | Wedi'i ddefnyddio i greu ffeil gyda logiau. Mae angen gwerth dros dro hefyd ar yr opsiwn, ac yna caiff log newydd ei greu |
| -v, -vv, -vvv | Yn dibynnu ar nifer y cymeriadau yn yr opsiwn, bydd allbwn y gorchymyn yn dod yn fwy manwl (mae cynnydd yn gymesur â nifer y cymeriadau) |
| -f | Mae'r allbwn yn dangos enw parth y cyfeiriad IP |
| -F | Yn eich galluogi i ddarllen gwybodaeth nad yw'n rhyngwyneb rhwydwaith, ond o'r ffeil benodedig |
| -D | Dangos pob rhyngwyneb rhwydwaith y gellir ei ddefnyddio. |
| -n | Dadweithredu arddangosiad enwau parthau |
| -Z | Yn pennu'r defnyddiwr dan ba gyfrif y caiff yr holl ffeiliau eu creu. |
| -K | Hepgor dadansoddiad checksum |
| -q | Arddangos gwybodaeth gryno |
| -H | Yn canfod penawdau 802.11 |
| -I | Wedi'i ddefnyddio wrth ddal pecynnau yn y modd monitro. |
Ar ôl archwilio'r opsiynau, isod rydym yn troi yn uniongyrchol at eu ceisiadau. Yn y cyfamser, bydd hidlwyr yn cael eu hystyried.
Hidlau
Fel y crybwyllwyd ar ddechrau'r erthygl, gallwch ychwanegu hidlwyr at y gystrawen tcpdump. Nawr, bydd y mwyaf poblogaidd ohonynt yn cael eu hystyried:
| Hidlo | Diffiniad |
|---|---|
| gwesteiwr | Yn enwi'r enw gwesteiwr. |
| net | Yn nodi'r is-rwydwaith IP a'r rhwydwaith |
| ip | Yn nodi cyfeiriad y protocol |
| src | Mae'n arddangos y pecynnau a anfonwyd o'r cyfeiriad penodedig |
| dst | Yn arddangos y pecynnau a dderbyniwyd gan y cyfeiriad penodedig. |
| arp, udp, tcp | Hidlo gan un o'r protocolau |
| porthladd | Mae'n arddangos gwybodaeth sy'n gysylltiedig â phorthladd penodol. |
| a, neu | Fe'i defnyddir i gyfuno hidlwyr lluosog mewn gorchymyn. |
| llai, mwy | Pecynnau allbwn yn llai neu'n fwy na'r maint penodedig |
Gellir cyfuno'r holl hidlwyr uchod gyda'i gilydd, felly wrth gyhoeddi gorchymyn, dim ond y wybodaeth rydych chi am ei gweld y byddwch yn ei gwylio. Er mwyn deall yn fanylach y defnydd o'r hidlyddion uchod, mae'n werth rhoi enghreifftiau.
Gweler hefyd: Gorchmynion a Ddefnyddir yn Aml mewn Terfynfa Linux
Enghreifftiau o ddefnydd
Bydd opsiynau cystrawen tcpdump a ddefnyddir yn aml bellach yn cael eu rhestru. Ni ellir rhestru pob un ohonynt, oherwydd gall eu hamrywiadau fod yn ddiderfyn.
Gweld rhestr rhyngwyneb
Argymhellir bod pob defnyddiwr yn gwirio rhestr ei holl ryngwynebau rhwydwaith y gellir eu holrhain i ddechrau. O'r tabl uchod rydym yn gwybod bod angen i chi ddefnyddio'r opsiwn hwn -D, felly yn y derfynell rhedeg y gorchymyn canlynol:
sudo tcpdump -D
Enghraifft:
Fel y gwelwch, mae wyth rhyngwyneb yn yr enghraifft y gellir ei gweld gan ddefnyddio'r gorchymyn tppump. Bydd yr erthygl yn darparu enghreifftiau o ppp0, gallwch ddefnyddio unrhyw un arall.
Dal traffig arferol
Os oes angen i chi olrhain rhyngwyneb rhwydwaith sengl, gallwch wneud hyn gyda'r opsiwn -i. Peidiwch ag anghofio rhoi enw'r rhyngwyneb ar ôl mynd i mewn iddo. Dyma enghraifft o roi'r gorchymyn hwn ar waith:
sudo tcpdump -i ppp0
Sylwer: mae angen i chi roi "sudo" cyn y gorchymyn ei hun, gan fod angen hawl y goruchwylydd arno.
Enghraifft:
Sylwer: ar ôl gwasgu Enter yn y "Terminal", bydd y pecynnau rhyng-gipedig yn cael eu harddangos yn barhaus. I atal eu llif, mae angen i chi bwyso'r cyfuniad allweddol Ctrl + C.
Os ydych chi'n rhedeg y gorchymyn heb opsiynau a hidlwyr ychwanegol, fe welwch y fformat canlynol ar gyfer arddangos pecynnau wedi'u holrhain:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Baneri [P.], seq 1: 595, ack 1118, ennill 6494, opsiynau [nop, nop, TS val 257060077 ecr 697597623], hyd 594
Lle mae lliw wedi'i amlygu:
- glas - amser derbyn y pecyn;
- fersiwn oren - protocol;
- cyfeiriad yr anfonwr gwyrdd;
- porffor - cyfeiriad y derbynnydd;
- llwyd - gwybodaeth ychwanegol am tcp;
- maint coch - pecyn (wedi'i arddangos mewn beitiau).
Mae gan y gystrawen hon y gallu i gynhyrchu yn y ffenestr "Terfynell" heb ddefnyddio opsiynau ychwanegol.
Daliwch draffig gyda'r opsiwn -v
Fel sy'n hysbys o'r tabl, yr opsiwn -v yn eich galluogi i gynyddu gwybodaeth. Gadewch i ni ystyried enghraifft. Gwiriwch yr un rhyngwyneb:
sudo tcpdump -v -i ppp0
Enghraifft:
Yma gallwch weld bod y llinell ganlynol wedi ymddangos yn yr allbwn:
IP (tos 0x0, ttl 58, id 30675, gwrthbwyso 0, baneri [DF], proto TCP (6), hyd 52
Lle mae lliw wedi'i amlygu:
- fersiwn oren - protocol;
- glas - oes y protocol;
- gwyrdd - hyd pen y cae;
- porffor - fersiwn y pecyn tcp;
- coch - maint y pecyn.
Hefyd yn y cystrawen gorchymyn gallwch ysgrifennu'r opsiwn -vv neu -vvv, a fydd yn cynyddu ymhellach y wybodaeth a ddangosir ar y sgrin.
Yr opsiwn -w ac -r
Soniodd y tabl opsiynau am y posibilrwydd o arbed yr holl ddata allbwn mewn ffeil ar wahân fel y gellir eu gweld yn ddiweddarach. Yr opsiwn hwn sy'n gyfrifol am hyn. -w. Mae'n eithaf syml ei ddefnyddio, rhowch ef yn y gorchymyn ac yna rhowch enw'r ffeil yn y dyfodol gyda'r estyniad ".pcap". Ystyriwch yr holl enghraifft:
sudo tcpdump -i ppp0 -w file.pcap
Enghraifft:
Sylwer: wrth ysgrifennu logiau i ffeil, ni ddangosir unrhyw destun ar y sgrin "Terfynell".
Pan fyddwch chi eisiau gweld yr allbwn a gofnodwyd, mae angen i chi ddefnyddio'r opsiwn -ryna enw'r ffeil a gofnodwyd yn flaenorol. Caiff ei gymhwyso heb opsiynau a hidlwyr eraill:
sudo tcpdump -r file.pcap
Enghraifft:
Mae'r ddau opsiwn hyn yn berffaith mewn achosion lle mae angen i chi arbed llawer o destun i'w ddadansoddi wedyn.
Hidlo IP
O'r tabl hidlo, rydym yn gwybod hynny dst yn caniatáu i chi arddangos ar y sgrin consol dim ond y pecynnau hynny a dderbyniwyd gan y cyfeiriad a nodwyd yn y gystrawen gorchymyn. Felly, mae'n gyfleus iawn gweld y pecynnau a dderbyniwyd gan eich cyfrifiadur. I wneud hyn, mae angen i'r tîm nodi eich cyfeiriad IP yn unig:
sudo tcpdump -i ppp0 i dst dst 10.0.6.67
Enghraifft:
Fel y gwelwch, ar wahân dst, yn y tîm, fe wnaethom hefyd gofrestru'r hidlydd ip. Mewn geiriau eraill, dywedasom wrth y cyfrifiadur y byddai'n rhoi sylw i'w cyfeiriad IP, ac nid i baramedrau eraill wrth ddewis pecynnau.
Trwy IP, gallwch hidlo ac anfon pecynnau. Yn yr enghraifft rydym yn rhoi ein ED eto. Hynny yw, byddwn yn awr yn olrhain pa bacedi sy'n cael eu hanfon o'n cyfrifiadur i gyfeiriadau eraill. I wneud hyn, rhedwch y gorchymyn canlynol:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Enghraifft:
Fel y gwelwch, gwnaethom newid yr hidlydd yn y gystrawen gorchymyn. dst ymlaen src, gan ddweud wrth y peiriant i chwilio am yr anfonwr gan IP.
HOST yn hidlo
Yn ôl cyfatebiaeth â IP yn y tîm, gallwn nodi hidlydd gwesteiwri chwynnu pecynnau gyda'r diddordeb mawr. Hynny yw, yn y gystrawen, yn hytrach na chyfeiriad IP yr anfonwr / derbynnydd, bydd angen i chi nodi ei gwesteiwr. Mae'n edrych fel hyn:
sudo tcpdump -i ppp0 cynnal gwesteiwr google-public-dns-a.google.com
Enghraifft:
Ar y ddelwedd gallwch weld hynny yn "Terfynell" Dim ond y pecynnau hynny a anfonwyd o'n gwesteiwr IP i westai google.com sy'n cael eu harddangos. Fel y gwelwch, yn lle gwesteiwr google, gallwch fynd i mewn i unrhyw un arall.
Fel gyda hidlo IP, y gystrawen yw: dst yn ei le srcI weld y pecynnau a anfonir i'ch cyfrifiadur:
sudo tcpdump -i ppp0 luc host google-public-dns-a.google.com
Sylwer: rhaid i'r hidlydd gwesteiwr fod ar ôl dst neu src, fel arall bydd y gorchymyn yn creu gwall. Yn achos hidlo IP, ar y groes, mae dst a src o flaen yr hidlydd ip.
Hidlo a / neu
Os oes angen i chi ddefnyddio sawl hidlydd ar unwaith mewn un gorchymyn, yna mae angen i chi ddefnyddio hidlydd. a neu neu (yn dibynnu ar yr achos). Drwy nodi'r hidlyddion yn y gystrawen a'u gwahanu gyda'r gweithredwyr hyn, rydych chi'n “gwneud” iddyn nhw weithio fel un. Mewn enghraifft, mae'n edrych fel hyn:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 neu ip src 95.47.144.254
Enghraifft:
O'r cystrawen gorchymyn gallwch weld ein bod am arddangos "Terfynell" pob pecyn a anfonwyd i'r cyfeiriad 95.47.144.254 a phacedi a dderbyniwyd yn yr un cyfeiriad. Gallwch hefyd newid rhai newidynnau yn y mynegiant hwn. Er enghraifft, yn lle IP, nodwch HOST neu ddisodlwch y cyfeiriadau eu hunain yn uniongyrchol.
Hidlo porthladd a phorthor
Hidlo porthladd perffaith ar gyfer pan fydd angen i chi gael gwybodaeth am becynnau gyda phorthladd penodol. Felly, os oes angen i chi weld atebion neu ymholiadau DNS yn unig, mae angen i chi nodi porth 53:
sudo tcpdump -vv -i ppp0 port 53
Enghraifft:
Os ydych chi eisiau gweld pecynnau http, mae angen i chi fynd i borth 80:
sudo tcpdump -vv -i ppp0 porthladd 80
Enghraifft:
Ymhlith pethau eraill, mae'n bosibl olrhain yr ystod o borthladdoedd ar unwaith. Ar gyfer yr hidlydd hwn porthor:
sudo tcpdump sudo 50-80
Fel y gwelwch, ar y cyd â'r hidlydd porthor Nid oes angen nodi opsiynau ychwanegol. Dim ond gosod yr ystod.
Protocol Hidlo
Gallwch hefyd arddangos y traffig sy'n cyfateb i unrhyw brotocol yn unig. I wneud hyn, defnyddiwch enw'r protocol hwn fel hidlydd. Gadewch i ni edrych ar enghraifft udp:
sudo tcpdump -vvv -i ppp0 udp
Enghraifft:
Fel y gwelwch yn y ddelwedd, ar ôl rhoi'r gorchymyn i mewn "Terfynell" dim ond pacedi gyda'r protocol a arddangoswyd udp. Yn unol â hynny, gallwch hidlo gan eraill, er enghraifft, arp:
sudo tcpdump -vvv -i ppp0 arp
neu tcp:
sudo tcpdump -vvv -i ppp0 tcp
Hidlo rhwyd
Gweithredwr net yn helpu i hidlo pecynnau sy'n seiliedig ar ddynodiad eu rhwydwaith. Mae mor hawdd ei ddefnyddio â'r gweddill - mae angen i chi nodi'r priodoledd yn y gystrawen net, yna rhowch gyfeiriad y rhwydwaith. Dyma enghraifft o orchymyn o'r fath:
sudo tcpdump -i ppp0 net 192.168.1.1
Enghraifft:
Hidlo yn ôl maint y pecyn
Nid ydym wedi ystyried dau hidlydd mwy diddorol: llai a mwy. O'r tabl gyda hidlyddion, gwyddom eu bod yn gweini mwy o becynnau data (llai) neu lai (mwy) y maint a bennir ar ôl cofnodi'r priodoledd.
Tybiwch ein bod ond eisiau monitro pacedi nad ydynt yn fwy na 50 did, yna bydd y gorchymyn yn edrych fel hyn:
sudo tcpdump -i ppp0 yn llai 50
Enghraifft:
Nawr gadewch i ni arddangos i mewn "Terfynell" pecynnau sy'n fwy na 50 o ddarnau:
sudo tcpdump -i ppp0 more 50
Enghraifft:
Fel y gwelwch, fe'u defnyddir yn gyfartal, yr unig wahaniaeth yw enw'r hidlydd.
Casgliad
Ar ddiwedd yr erthygl gallwn ddod i'r casgliad bod y tîm tcpdump - Mae hwn yn arf gwych y gallwch olrhain unrhyw becyn data sy'n cael ei drosglwyddo dros y Rhyngrwyd. Ond ar gyfer hyn nid yw'n ddigon i fynd i mewn i'r gorchymyn ei hun "Terfynell". Dim ond os ydych chi'n defnyddio pob math o opsiynau a hidlyddion, yn ogystal â'u cyfuniadau, y ceir y canlyniad a ddymunir.
