Linux-en sareen paketeak aztertu edo atxiki behar badituzu, hobe da horretarako kontsola erabiltzeko. tcpdump. Baina arazoa kudeaketa nahiko konplexua sortzen da. Erabiltzaile arrunten erabilgarritasunarekin lan egitea deserosoa dirudi, baina lehen begiratuan bakarrik da. Artikuluak tcpdump nola antolatu den azalduko du, zein sintaxia du, nola erabili, eta horren erabileraren adibide ugari emango dira.
Ikusi ere: Ubuntun, Debian, Ubuntu zerbitzarirako Interneteko konexio bat ezartzeko tutoretzak
Instalazio-
Linux-oinarritutako sistema eragile garatzaile gehienek tcpdump utilitatea aurrez instalatutakoen zerrendan sartzen dute, baina arrazoiren batengatik zure banaketan ez badago, beti deskargatu eta instalatu dezakezu. "Terminal". Zure OS Debian oinarritzen bada, eta hau da Ubuntu, Linux Mint, Kali Linux eta antzekoak, komando hau exekutatu behar duzu:
sudo apt install tcpdump
Instalatzerakoan pasahitza sartu behar duzu. Kontuan izan hori idaztean ez dela bistaratzen, instalazioa baieztatzeko ere, pertsonaia sartu behar duzu "D" eta sakatu Sartu.
Red Hat, Fedora edo CentOS baduzu, instalazio komandoa honela izango da:
sudo yam instalatu tcpdump
Erabilera instalatu ondoren, berehala erabil dezakezu. Testu honetan geroago eta askoz ere gehiago eztabaidatuko dira.
Ikus, gainera: Ubuntu Server PHP instalatzeko gida
sintaxia
Beste edozein komando bezala, tcpdump-ek bere sintaxia du. Jakitean, komandoa exekutatzerakoan kontuan hartuko diren beharrezko parametro guztiak ezar ditzakezu. Sintaxia honakoa da:
tcpdump aukerak - interfaze iragazki gisa
Komandoa erabiltzerakoan interfazea zehaztu behar duzu. Iragazkiak eta aukerak ez dira nahitaezko aldagaiak, baina konfigurazio malguagoa ahalbidetzen dute.
aukera
Aukera hori zehaztea beharrezkoa ez den arren, oraindik ere beharrezkoa da eskuragarri dauden zerrendatzea. Taulak ez du zerrenda osoa erakusten, baina ezagunenak bakarrik, baina nahikoa dira zeregin gehienak konpontzeko.
| aukera | definition |
|---|---|
| -A | Pakete ASCII formatuan ordenatzeko aukera ematen du |
| l | Korritze funtzioa gehitzen du. |
| -i | Sartu ondoren, kontrolatuko den sareko interfazea zehaztu behar duzu. Interfaze guztiak jarraitzen hasteko, idatzi "any" hitza aukeraren ondoren. |
| -c | Jarraipen prozesua osatu du zehaztutako pakete kopurua egiaztatu ondoren. |
| -w | Testu fitxategi bat sortzen du egiaztapen txosten batekin. |
| -e | Datu paketeen Interneteko konexio maila erakusten du. |
| -L | Zehaztutako sareko interfazeak onartzen dituen protokoloak soilik erakusten ditu. |
| -C | Beste fitxategi bat sortzen du paketea idaztean tamaina zehaztutakoa baino handiagoa bada. |
| -r | -W aukerarekin sortu zen irakurtzeko fitxategia irekitzen du. |
| -j | TimeStamp formatua paketeak grabatzeko erabiliko da. |
| -J | Eskuragarri dauden formatu guztiak ikusteko aukera ematen dizu TimeStamp |
| -G | Erregistroekin fitxategi bat sortzeko erabiltzen da. Aukera ere aldi baterako balio bat eskatzen du, eta ondoren log berri bat sortuko da |
| -v, -vv, -vvv | Aukeren karaktere kopuruaren arabera, komandoaren irteera zehatzagoa izango da (gehikuntza pertsonaien kopuruarekin zuzenean proportzionala izango da). |
| -f | Irteeran IP helbidearen domeinuaren izena erakusten da |
| -F | Sareko interfazetik ez dagoen informazioa irakurtzeko aukera ematen du, baina zehaztutako fitxategitik |
| -D | Erabil daitezkeen sareko interfaze guztiak erakusten ditu. |
| -n | Domeinu-izenak bistaratzen ditu |
| -Z | Fitxategi guztiak sortuko dituen erabiltzailea zehazten du. |
| -K | Pasahitza aztertzea |
| -q | Informazio laburra erakustea |
| -H | 802.11eko goiburuak detektatzen ditu |
| -I | Monitore moduan paketeak ateratzerakoan erabiltzen da. |
Aukerak aztertu ondoren, azpian zuzenean bere aplikazioetara jotzen dugu. Bitartean, iragazkiak hartuko dira kontuan.
iragazkiak
Artikuluaren hasieran aipatu bezala, tcpdump sintaxian iragazkiak gehitu ditzakezu. Orain, gehien jotzen dira:
| iragazkia | definition |
|---|---|
| ostalari | Ostalari izena zehazten du. |
| net | IP azpisarea eta sarea zehazten du |
| ip | Protokoloaren helbidea zehazten du |
| src | Zehaztutako helbidetik bidalitako paketeak bistaratzen ditu |
| d | Zehaztutako helbidearen bidez jaso ziren paketeak bistaratzen ditu. |
| arp, udp, tcp | Protokoloetako baten bidez iragaztea |
| portu | Portu zehatz bati buruzko informazioa bistaratzen du. |
| eta, edo | Iragazki anitzetan komando batean konbinatzeko erabiltzen da. |
| gutxiago, handiagoa | Irteerako paketeak zehaztutako tamaina baino txikiagoak edo handiagoak |
Aurreko iragazki guztiak elkarren artean konbinatu daitezke, beraz komando bat igortzen ikusi nahi duzun informazioa bakarrik ikusiko duzu. Aurreko iragazkien erabilera zehatzagoa ulertzeko, merezi du adibide batzuk eman.
Ikusi ere: Linux terminal komertzialak erabiltzen dira
Erabilpen adibideak
Maiz erabiltzen diren tcpdump sintaxien aukerak zerrendatuko dira. Horiek guztiak ezin dira zerrendatu, beren aldaketak infinitua izan daitezkeelako.
Ikusi interfazeen zerrenda
Erabiltzaile bakoitzak bere sareko interfaze guztien zerrenda egiaztatu beharko litzateke hasieran. Goiko taulan badakigu horretarako aukera hau erabili behar duzula -D, beraz, terminalean exekutatu komando hau:
sudo tcpdump -D
Adibidez:
Ikus dezakezunez, tcpdump komandoaren bidez ikus daitekeen adibidean zortzi interfaze daude. Artikuluak adibide bat emango du ppp0beste edozein erabil dezakezu.
Trafiko harrapaketa normala
Sareko interfaze bakar baten jarraipena egin behar baduzu, hau egin dezakezu -i. Ez ahaztu interfazearen izena sartzean sartu aurretik. Hona hemen adibide bat komando hau burutzeko:
sudo tcpdump -i ppp0
Kontuan izan: "sudo" idatzi behar duzu komandoa bera baino lehen, supermerkatuaren eskubidea behar baitu.
Adibidez:
Oharra: Sartu "Terminalean" sakatu ondoren, atzemandako paketeak etengabe bistaratuko dira. Fluxua geldiarazteko, Ctrl + C. tekla-konbinazioa sakatu behar duzu.
Aukera eta iragazki gehigarririk gabe komandoa exekutatzen baduzu, honako formatua ikusiko duzu jarraipena egiteko paketeak bistaratzeko:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Banderak [P.], seq 1: 595, ack 1118, 6494 irabazi, aukerak [nop, nop, TS val 257060077 ecr 697597623], luzera 594
Kolorea nabarmentzen da:
- urdina - paketea jasotzeko ordua;
- laranja - protokolo bertsioa;
- berdea - bidaltzailearen helbidea;
- morea - hartzailearen helbidea;
- grisa - TCPri buruzko informazio osagarria;
- gorria - paketeen tamaina (byteetan agertzen da).
Sintaxia honek leihoan irteerako gaitasuna du "Terminal" aukera osagarriak erabili gabe.
Atera trafikoa -v aukera erabiliz
Taulan ezagutzen den moduan, aukera -v informazio kopuru handiagoa handitzeko aukera ematen du. Demagun adibide bat. Begiratu interfazea bera:
sudo tcpdump -v -i ppp0
Adibidez:
Hemen ikus dezakezu hurrengo lerroan irteeran:
IP (tos 0x0, ttl 58, 30675 identifikazioa, 0 desplazamendua, banderak [DF], TCP protokoa (6), luzera 52
Kolorea nabarmentzen da:
- laranja - protokolo bertsioa;
- urdina - protokoloaren bizitza;
- berdea - eremuaren goiburuaren luzera;
- morea - tcp paketearen bertsioa;
- gorria - paketearen tamaina.
Komandoaren sintaxia ere aukera dezakezu -vv edo -vvv, pantailan bistaratutako informazio gehiago areagotuko duena.
-W eta -r aukera
Aukeren taulak aipatu ditu irteera-datu guztiak fitxategi bereizi batean gordetzeko aukera geroago ikusteko. Aukera horren erantzule da. -w. Erabiltzeko erraza da, sartu komandoan, eta sartu luzapena duen etorkizuneko fitxategiaren izena ".Pcap". Demagun adibide guztia:
sudo tcpdump -i ppp0 -w file.pcap
Adibidez:
Kontuan izan: erregistroak fitxategira idaztean, ez da testua "Terminal" pantailan bistaratzen.
Grabatutako irteera ikusi nahi duzunean, aukera hau erabili behar duzu -rGrabatutako fitxategiaren izena jarraitzen du. Beste aukera eta iragazkirik gabe aplikatzen da:
sudo tcpdump -r file.pcap
Adibidez:
Aukera hauek biak ezin hobea da testu kopuru handiak gorde behar dituzu ondorengo azterketetarako.
IP iragazketa
Iragazki taula batetik ezagutzen dugu d komandoaren sintaxian zehaztutako helbidean jaso dituzten paketeak soilik bistaratu ahal izango dituzu kontsolaren pantailan. Horrela, oso erosoa da zure ordenagailuak jasotako paketeak ikustea. Horretarako, taldeak zure IP helbidea zehaztu behar du:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Adibidez:
Ikusten duzun moduan, gainera dTaldean erregistratu dugu iragazkia ip. Beste modu batera esanda, ordenagailuez esan genion paketeak aukeratzerakoan arreta bere IP helbidean arreta jarriko zela, eta ez beste parametro batzuetara.
IP bidez, paketeak iragaz ditzakezu eta bidali. Adibidez, gure IP berriro ematen dugu. Hau da, gure ordenagailutik beste helbide batera bidalitako paketeei jarraipena egingo diogu. Horretarako, exekutatu komando hau:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Adibidez:
Ikusten duzun moduan, komandoaren sintaxian iragazkia aldatu dugu. d buruzko src, horrela, makina igorlearen bilaketa IPa esatea.
HOST iragazketa
IP taldeko analogiarekin, iragazki bat zehaztu dezakegu ostalariinteresgarriak diren paketeak ezabatzeko. Hau da, sintaxia, bidaltzailearen / hartzailearen IP helbidea ordez, ostalaria zehaztu beharko duzu. Honen itxura du:
sudo tcpdump -i ppp0 dst ostalari google-public-dns-a.google.com
Adibidez:
Irudian ikus dezakezu hori "Terminal" Gure IP-tik google.com-eko ostalariaren bidez bidalitako paketeak bakarrik bistaratzen dira. Ikusten duzun bezala, google ostalariaren ordez, beste edozein sartu dezakezu.
IP iragazketa bezala, sintaxia honakoa da: d ordezkatu daiteke srcZure ordenagailura bidalitako paketeak ikusteko:
sudo tcpdump -i ppp0 src ostalaria google-public-dns-a.google.com
Oharra: ostalariaren iragazkiak dst edo src-en ondoren egon behar du; bestela, komandoak errore bat sortuko du. IP iragazketa kasuan, aitzitik, dst eta src ip iragazkiaren aurrean daude.
Iragazi eta / edo
Hainbat iragazki aldi berean komando batean erabili behar badituzu, iragazki bat aplikatu behar duzu. eta edo edo (kasuaren arabera). Sintaxia iragazkiak zehaztuz eta adierazpen horiekin bereizita, lan egiten duzu "bat" bezala. Adibide batean, itxura hau da:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 edo ip src 95.47.144.254
Adibidez:
Komandoaren sintaxia aurrera ikusiko dugu "Terminal" 95.47.144.254 helbidera bidalitako pakete guztiak eta helbide berean jasotako paketeak. Adierazpen honetan aldagai batzuk ere alda ditzakezu. Adibidez, IParen ordez, zehaztu HOST edo zuzenean ordezkatu helbideak.
Iragazi ataka eta jarri
iragazkia portu ataka zehatz batekin paketeei buruzko informazioa lortzeko behar duzunean. Beraz, soilik erantzunak edo DNS kontsultak ikusi behar badituzu, 53 ataka zehaztu behar duzu:
sudo tcpdump -vv -i ppp0 ataka 53
Adibidez:
Http paketeak ikusi nahi badituzu, 80 ataka sartu behar duzu:
sudo tcpdump -vv -i ppp0 portua 80
Adibidez:
Beste gauza batzuen artean, berehala portuen gama jarrai daiteke. Horretarako, aplikatu iragazkia portrange:
sudo tcpdump ataka 50-80
Ikus dezakezun bezala, iragazkiarekin batera portrange Ez da beharrezkoa aukera gehigarriak zehaztea. Ezarri area.
Protokoloaren iragazketa
Protokolo bakoitzari dagokion trafikoa bakarrik bistara dezakezu. Horretarako, erabili protokolo honen izena iragazki gisa. Begiratu adibide bat udp:
sudo tcpdump -vvv -i ppp0 udp
Adibidez:
Irudian ikus dezakezu bezala, komandoa exekutatu ondoren "Terminal" protokoloa duten paketeak soilik erakutsi ziren udp. Hortaz, beste batzuek iragazi ditzakezu, adibidez, arp:
sudo tcpdump -vvv -i ppp0 arp
edo tcp:
sudo tcpdump -vvv -i ppp0 tcp
Iragazi sarea
operadorea net sarearen bidez izendatutako paketeak iragazten laguntzen du. Gainontzekoa bezain erraza da erabiltzea: sintaxia atributua zehaztu behar duzu net, ondoren sartu sarearen helbidea. Hona hemen komando horren adibide bat:
sudo tcpdump -i ppp0 garbia 192.168.1.1
Adibidez:
Iragazi paketeen tamainaren arabera
Ez dugu bi iragazki interesgarri jotzen: gutxiago eta handiagoa. Iragazkiak dituen taulatik, badakigu datu-pakete gehiago irteteko balio duela.gutxiago) edo gutxiago (handiagoa) atributua sartu ondoren zehaztutako tamaina.
Demagun 50 bit baino gehiagoko paketeak kontrolatu nahi ditugu soilik, orduan komandoak honela izango du itxura:
sudo tcpdump -i ppp0 gutxiago 50
Adibidez:
Orain ikus dezagun "Terminal" 50 bit baino handiagoa duten paketeak:
sudo tcpdump -i ppp0 handiagoa 50
Adibidez:
Ikus dezakezun moduan, berdin erabiltzen dira, iragazkiaren izenean aldea bakarra da.
ondorio
Artikuluaren amaieran ondoriozta dezakegu taldea tcpdump - Internet tresna bidez transmititutako edozein datu paketeen jarraipena egiteko tresna bikaina da hau. Baina horretarako komandoa bera sartu besterik ez da nahikoa "Terminal". Nahi duzun emaitza lortzeko, hainbat aukera eta iragazkiak bakarrik erabiltzen badituzu, baita beren konbinazioak ere lortuko dituzu.
