Phenquestions
"Tcpdump" adalah penganalisis paket dan digunakan untuk mendiagnosis dan menganalisis masalah rangkaian. Ini menangkap lalu lintas rangkaian yang melalui peranti anda dan melihatnya. Alat "tcpdump" adalah alat yang ampuh untuk menyelesaikan masalah rangkaian. Ia dilengkapi dengan banyak pilihan, yang menjadikannya utiliti baris perintah serba boleh untuk menyelesaikan masalah rangkaian.
Catatan ini adalah panduan terperinci mengenai utiliti "tcpdump" yang merangkumi pemasangannya, ciri umum, dan penggunaan dengan pilihan yang berbeza. Mari mulakan dengan pemasangan:
Cara memasang "tcpdump":
Dalam banyak pengedaran, "tcpdump" keluar dari kotak, dan untuk memeriksanya, gunakan:
$ yang tcpdump
Sekiranya tidak dijumpai dalam pengedaran anda, pasang dengan menggunakan:
$ sudo apt pasang tcpdumpPerintah di atas akan digunakan untuk pengedaran berasaskan Debian seperti Ubuntu dan LinuxMint. Untuk "Redhat" dan "CentOS", gunakan:
$ sudo dnf pasang tcpdumpCara menangkap paket dengan tcpdump:
Pelbagai antara muka boleh digunakan untuk menangkap paket. Untuk mendapatkan senarai antara muka, gunakan:
$ sudo tcpdump -D
Atau cukup gunakan "mana-mana" dengan perintah "tcpdump" untuk mendapatkan paket dari antara muka aktif. Untuk memulakan penggunaan tangkapan paket:
$ sudo tcpdump - antaramuka mana-mana
Perintah di atas adalah mengesan paket dari semua antara muka aktif. Paket akan terus diambil sehingga mendapat gangguan daripada pengguna (ctrl-c).
Kita juga dapat membatasi jumlah paket yang akan diambil menggunakan bendera "-c" yang menandakan "hitungan."Untuk menangkap 3 paket, gunakan:
$ sudo tcpdump -i mana -c3
Perintah di atas berguna untuk menapis paket tertentu. Selain itu, menyelesaikan masalah penyambungan hanya memerlukan beberapa paket awal untuk ditangkap.
The "tcpdump"Perintah menangkap paket dengan nama IP dan port secara lalai tetapi untuk membersihkan, kekacauan dan menjadikan output lebih mudah difahami; nama boleh dilumpuhkan menggunakan "-n"Dan"-nn"Untuk pilihan port:
$ sudo tcpdump -i mana -c3 -nn
Seperti yang ditunjukkan dalam output di atas, nama IP dan port telah dikeluarkan.
Cara memahami maklumat mengenai paket yang ditangkap:
Untuk mengetahui tentang pelbagai bidang paket yang ditangkap, mari kita ambil contoh paket TCP:
Satu paket boleh mempunyai pelbagai bidang, tetapi yang umum ditunjukkan di atas. Bidang pertama, "09:48:18.960683,Mewakili masa ketika paket diterima. Seterusnya datang alamat IP; IP pertama [216.58.209.130] adalah IP sumber dan IP kedua [10.0.2.15.55812] adalah IP tujuan. Kemudian anda akan mendapat bendera [P.]; senarai bendera khas diberikan di bawah:
| Bendera | Jenis | Penerangan |
| "." | TERIMA KASIH | Menandakan pengakuan |
| S | SYN | Tandakan untuk memulakan sambungan |
| F | KEWANGAN | Tandakan untuk sambungan tertutup |
| P | TURUN | Menunjukkan desakan data dari pengirim |
| R | RST | Tetapan Semula Sambungan |
Dan seterusnya nombor urutan "seq 185: 255". Pelanggan dan pelayan menggunakan nombor urutan 32-bit untuk mengekalkan dan memantau data.
The "ackAdalah bendera; jika itu 1, itu bermaksud nombor pengakuan sah, dan penerima mengharapkan bait seterusnya.
Nombor tetingkap menunjukkan ukuran penyangga. "menang 65535ā€¯Bermaksud jumlah data yang dapat disangga.
Dan pada akhirnya datang panjang [70] paket dalam bait yang merupakan perbezaan "185: 255".
Menyaring paket untuk menyelesaikan masalah rangkaian:
Alat "tcpdump" menangkap beratus-ratus paket, dan kebanyakannya kurang penting yang menjadikannya lebih kompleks untuk mendapatkan maklumat yang diinginkan untuk menyelesaikan masalah. Dalam kes ini, penyaringan akan memainkan peranannya. Sebagai contoh, semasa menyelesaikan masalah jika anda tidak berminat dengan jenis lalu lintas tertentu, Anda dapat menyaringnya menggunakan "tcpdump," yang disertakan dengan paket penyaringan sesuai dengan alamat IP, port, dan protokol.
Cara menangkap paket menggunakan nama host dengan arahan tcpdump:
Untuk mendapatkan paket dari host tertentu sahaja, gunakan:
$ sudo tcpdump -i mana-mana -c4 hos 10.0.2.15
Sekiranya anda ingin mendapatkan lalu lintas sehala, maka gunakan "src"Dan"dst"Pilihan di tempat"tuan rumah."
Cara menangkap paket menggunakan nombor port dengan perintah tcpdump:
Untuk menapis paket dengan nombor port, gunakan:
$ sudo tcpdump -i mana-mana -c3 -nn port 443
"443" adalah nombor port HTTPS.
Cara menangkap paket menggunakan protokol dengan perintah tcpdump:
Dengan perintah "tcpdump", anda dapat menyaring paket mengikut protokol seperti udp, icmp, arp, dll. Cukup taipkan nama protokol:
$ sudo tcpdump -i mana -c6 udp
Perintah di atas hanya akan menangkap paket yang termasuk dalam protokol "udp".
Cara menggabungkan pilihan penapisan menggunakan pengendali logik:
Pilihan penapisan yang berbeza dapat digabungkan menggunakan operator logik seperti "dan / atau":
$ sudo tcpdump -i mana-mana -c6 -nn host 10.0.2.15 dan pelabuhan 443
Cara menyimpan data yang ditangkap:
Data yang diambil dapat disimpan ke file untuk memantau nanti, dan untuk itu opsi "-w" akan digunakan, dan "w" menandakan "tulis":
$ sudo tcpdump -i sebarang -c5 -w paketData.pcap
Sambungan fail akan menjadi ".pcap, "yang bermaksud" tangkapan paket.Setelah tangkapan selesai, fail akan disimpan di pemacu tempatan anda. Fail ini tidak dapat dibuka atau dibaca menggunakan program penyunting teks. Untuk membacanya, gunakan "-rBendera dengan "tcpdump":
$ tcpdump -r packetData.pcap
Kesimpulan:
"Tcpdump" adalah alat yang berharga dan fleksibel untuk menangkap dan menganalisis lalu lintas rangkaian untuk menyelesaikan masalah rangkaian. Titik perhatian panduan ini adalah untuk mempelajari penggunaan dasar dan lanjutan utiliti baris perintah "tcpdump". Tetapi jika anda merasa sukar, maka ada program berbasis GUI yang kurang kompleks yang disebut "Wireshark," yang melakukan pekerjaan yang hampir sama tetapi dengan pelbagai ciri tambahan.
