Yen sampeyan kudu nganalisa utawa nyegat paket jaringan ing Linux, luwih becik nggunakake sarana konsol kêtandhang. Nanging masalah kasebut muncul ing manajemen sing cukup rumit. Katoné pangguna rata-rata sing nggarap utiliti ora gampang, nanging iki mung sepisanan. Artikel kasebut bakal nerangake carane karya tcpdump, sintaks apa sing ana, carane nggunakake, lan conto akeh panggunaan sing bakal diwenehake.
Deleng uga: Pandhuan kanggo nggawe sambungan Internet ing Ubuntu, Debian, Server Ubuntu
Instalasi
Umume pangembang sistem operasi berbasis Linux kalebu utilitas tcpdump ing dhaptar sing wis diinstal, nanging yen ana sebab, ora ana ing distribusi sampeyan, sampeyan mesthi bisa ndownload lan nginstal "Terminal". Yen OS adhedhasar Debian, lan iki Ubuntu, Linux Mint, Kali Linux lan liya-liyane, sampeyan kudu nglakokake prentah iki:
sudo apt nginstal tcpdump
Nalika nginstal, sampeyan kudu ngetik sandhi. Wigati dicathet yen nalika mencet, ora ditampilake, uga kanggo konfirmasi setelan sing sampeyan kudu ngetik karakter kasebut D lan klik Ketik.
Yen sampeyan duwe Red Hat, Fedora utawa CentOS, prentah instalasi bakal katon kaya iki:
sudo yam nginstal tcpdump
Sawise sarana diinstal, bisa langsung digunakake. Iki lan liya-liyane bakal dibahas mengko ing teks.
Deleng uga: Pandhuan Pemasangan PHP ing Server Ubuntu
Sintaks
Kaya printah liyane, tcpdump duwe sintaks dhewe. Ngerteni wong, sampeyan bisa ngeset kabeh parameter sing perlu sing bakal dianggep nalika nglakokake perintah kasebut. Sintaksis kaya ing ngisor iki:
opsi tcpdump-saringan antarmuka
Nalika nggunakake printah, sampeyan kudu nemtokake antarmuka kanggo nelusuri. Filter lan pilihan minangka variabel pilihan, nanging ngidini kustomisasi luwih fleksibel.
Pilihan
Sanajan ora prelu nuduhake pilihan, sampeyan isih kudu menehi dhaptar sing kasedhiya. Meja ora nuduhake kabeh dhaptar, nanging mung sing paling populer, nanging luwih akeh tinimbang ngatasi tugas sing akeh.
| Pilihan | Definisi |
|---|---|
| -A | Ngijini sampeyan ngurutake paket karo format ASCII |
| -l | Nambah fungsi gulung. |
| -i | Sawise mlebu, sampeyan kudu nemtokake antarmuka jaringan sing bakal dipantau. Kanggo miwiti ngawasi kabeh antarmuka, ketik tembung "apa wae" sawise pilihan |
| -c | Mungkasi proses nelusuri sawise mriksa nomer paket sing wis ditemtokake |
| -w | Nggawe file teks kanthi laporan verifikasi |
| -e | Nuduhake data sambungan internet sambungan |
| -L | Nuduhake protokol sing mung antarmuka jaringan sing ditemtokake. |
| -C | Nggawe file liyane sajrone rekaman paket yen ukurane luwih gedhe tinimbang sing wis ditemtokake |
| -r | Mbukak file maca sing digawe kanthi nggunakake pilihan -w |
| -j | Format TimeStamp bakal digunakake kanggo ngrekam paket |
| -J | Ngijini sampeyan ndeleng kabeh format TimeStamp sing kasedhiya |
| -G | Ngawula kanggo nggawe file log. Pilihan kasebut uga mbutuhake regane sauntara, sawise iku log bakal digawe |
| -v, -vv, -vvv | Gumantung saka nomer karakter sing dipilih, output prentah bakal luwih rinci (paningkatan kasebut langsung karo jumlah karakter) |
| -f | Output nuduhake jeneng domain alamat IP |
| -F | Ngidini maca informasi ora saka antarmuka jaringan, nanging saka file sing ditemtokake |
| -D | Nduduhake kabeh antarmuka jaringan sing bisa digunakake. |
| -n | Nonaktivasi tampilan jeneng domain |
| -Z | Nemtokake pangguna ing endi sing kabeh file bakal digawe. |
| -K | Analisis Semalat Skipping |
| -q | Ringkesan Showcase |
| -H | Ndeteksi 802.11s Header |
| -Aku | Digunakake nalika motret paket ing mode monitor |
Sawise mriksa opsi kasebut, sithik luwih murah kita bakal langsung menyang aplikasi kasebut. Ing sawetoro wektu, saringan bakal dianggep.
Saringan
Kaya sing dingerteni ing wiwitan artikel, sampeyan bisa nambah saringan tiron ing sintetik tcpdump. Saiki sing paling populer bakal dianggep:
| Filter | Definisi |
|---|---|
| inang | Nemtokake jeneng host |
| net | Nuduhake subnets IP lan jaringan |
| ip | Nemtokake alamat protokol |
| src | Nampilake paket sing dikirim saka alamat sing wis ditemtokake |
| dsti | Nampilake paket sing ditampa dening alamat sing ditemtokake |
| arp, udp, tcp | Nyaring dening salah sawijining protokol |
| port | Nuduhake informasi sing ana gandhengane karo port tartamtu |
| lan, utawa | Nggabungake sawetara saringan ing komando. |
| kurang luwih | Paket output luwih cilik utawa luwih gedhe tinimbang ukuran sing wis ditemtokake |
Kabeh saringan ing ndhuwur bisa digabung karo siji liyane, mulane ing diterbitake printah sampeyan mung bakal bisa ndeleng informasi sing pengin dideleng. Kanggo ngerteni luwih rinci babagan nggunakake saringan ing ndhuwur, kudu menehi conto.
Deleng uga: Piranti Digunakake Kerep ing Terminal Linux
Tuladha Dianggo
Opsi sintaks sing asring digunakake kanggo printah tcpdump saiki bakal dituduhake. Kabeh padha ora bisa didaftar, amarga bisa uga ana macem-macem variasi.
Deleng dhaptar antarmuka
Disaranake saben pangguna mriksa dhaptar kabeh antarmuka jaringan sing bisa dilacak. Saka tabel ndhuwur, kita ngerti manawa kanggo iki, sampeyan kudu nggunakake pilihan -D, supaya ing terminal, nglakokake prentah ing ngisor iki:
sudo tcpdump -D
Tuladha:
Kaya sing sampeyan ngerteni, conto duwe wolung antarmuka sing bisa dideleng nganggo printah tcpdump. Artikel kasebut bakal menehi conto ppp0Sampeyan bisa nggunakake liyane.
Jupuk lalu lintas normal
Yen sampeyan kudu nglacak siji jaringan antarmuka, sampeyan bisa nindakake iki kanthi nggunakake pilihan -i. Aja lali ngetik jeneng antarmuka sawise ngetik. Iki minangka conto pandhuan kaya mengkene:
sudo tcpdump -i ppp0
Wigati dimangerteni: sadurunge prentah sampeyan kudu ngetik "sudo", amarga mbutuhake hak superuser.
Tuladha:
Cathetan: sawise mencet Ketik "Paket", paket sing dicegat bakal ditampilake kanthi terus. Kanggo mungkasi aliran kasebut, sampeyan kudu mencet kombinasi Ctrl + C.
Yen nglakokake prentah kasebut tanpa pilihan lan saringan tambahan, sampeyan bakal ndeleng format ing ngisor iki kanggo nampilake paket sing dipantau:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Gendéra [P.], seq 1: 595, ack 1118, menang 6494, pilihan [nop, nop, TS val 257060077 ecr 697597623], dawane 594
Ing endi warna disorot:
- biru - wektu panrima paket kasebut;
- oranye - versi protokol;
- ijo - alamat pangirim;
- violet - alamat panampa;
- werna abu-abu - informasi tambahan babagan tcp;
- ukuran ukuran abang (ditampilake bita).
Sintaksis iki nduweni kemampuan kanggo nampilake ing jendela. "Terminal" tanpa nggunakake opsi tambahan.
Jupuk lalu lintas kanthi pilihan -v
Kaya sing dingerteni saka tabel, pilihan kasebut -v ngidini sampeyan nambah jumlah informasi. Ayo dadi conto. Priksa antarmuka sing padha:
sudo tcpdump -v -i ppp0
Tuladha:
Sampeyan bisa ndeleng manawa baris ing ngisor iki muncul ing output:
IP (tos 0x0, ttl 58, id 30675, nutup kerugian 0, gendera [DF], proto TCP (6), dawane 52
Ing endi warna disorot:
- oranye - versi protokol;
- umur - protokol umur;
- ijo - dawa header lapangan;
- versi pakean ungu - tcp;
- ukuran abang - ukuran.
Uga ing sintaks prentah sampeyan bisa nulis opsi -vv utawa -vvv, sing bakal nambah jumlah informasi sing ditampilake ing layar.
Pilihan -w lan -r
Tabel opsi kasebut nyebutake kemampuan kanggo nyimpen kabeh output ing file sing kapisah supaya sampeyan bisa ndeleng mengko. Opsi tanggung jawab kanggo iki. -w. Nggunakake cukup gampang, mung nemtokake ing printah kasebut, lan banjur ketik jeneng file ing mangsa ngarep kanthi extension kasebut ".pcap". Ayo katon ing conto:
sudo tcpdump -i ppp0 -w file.pcap
Tuladha:
Wigati dimangerteni: nalika nulis log menyang file, ora ana teks sing ditampilake ing layar "Terminal".
Yen sampeyan pengin ndeleng output sing direkam, sampeyan kudu nggunakake pilihan kasebut -r, sawise iku nulis jeneng file sing wis direkam sadurunge. Digunakake tanpa opsi lan saringan liyane:
sudo tcpdump -r file.pcap
Tuladha:
Loro opsi kasebut paling apik ing kasus sing dibutuhake kanggo ngirit teks sing akeh kanggo parsing mengko.
Filter IP
Saka tabel filter kita ngerti manawa dsti ngidini sampeyan nampilake ing layar console mung paket sing ditampa dening alamat sing wis ditemtokake ing sintaks prentah. Mangkono, gampang banget kanggo ndeleng paket sing ditampa dening komputer. Kanggo nindakake iki, tim mung kudu nemtokake alamat IP kasebut:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Tuladha:
Kaya sing sampeyan deleng, liyane dsti, kita uga ndhaptar filter ing tim ip. Ing tembung liyane, kita ngandhani komputer yen milih paket bakal menehi perhatian marang alamat IP dheweke, lan dudu parameter liyane.
Kanthi IP, sampeyan uga bisa nyaring paket metu. Kita bakal menehi IP maneh ing tuladha. Yaiku, saiki kita bakal nglacak paket endi sing dikirim saka komputer menyang alamat liyane. Kanggo nindakake iki, bukak printah ing ngisor iki:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Tuladha:
Kaya sing sampeyan ngerteni, ing sintaks prentah kita ngowahi filter dsti ing src, kanthi mangkono ngandhani mesin supaya goleki pangirim liwat IP.
Filter Filter
Kanthi analogi karo IP ing dhawuhe, kita bisa nemtokake panyaring inangkanggo nyaring paket karo host sing disenengi. Yaiku, ing sintaks, dudu alamat IP saka pangirim / panampa, sampeyan kudu nemtokake host sampeyan. Katon kaya ngene:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Tuladha:
Ing gambar sampeyan bisa ndeleng manawa ing "Terminal" mung paket sing dikirim saka IP kita menyang host google.com ditampilake. Kaya sing sampeyan ngerteni, tinimbang host google, sampeyan bisa ngetik liyane.
Kaya kanggo nyaring IP, sintaks dsti bisa diganti dening srcKanggo ndeleng paket sing dikirim menyang komputer:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Cathetan: Filter host kudu sawise dst utawa src, yen dhawuhe bakal mbuwang kesalahan. Ing kasus panyaring dening IP, sebaliknya, dst lan src ana ing ngarep filter filter ip.
Nglamar lan lan utawa panyaring
Yen sampeyan kudu nggunakake pirang-pirang saringan ing siji komando, mula sampeyan kudu nggunakake saringan lan utawa utawa (gumantung ing kasus kasebut). Kanthi nemtokake saringan ing sintaks lan pamisah karo operator kasebut, sampeyan bakal nggawe bisa digunakake. Contone, katon kaya iki:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 utawa ip src 95.47.144.254
Tuladha:
Sintaks prentah nuduhake apa sing arep dituduhake "Terminal" kabeh paket sing dikirim kanggo alamat 95.47.144.254 lan paket sing ditampa dening alamat sing padha. Sampeyan uga bisa ngganti sawetara variabel ing ekspresi iki. Contone, tinimbang IP, pilih HOST utawa langsung ngganti alamat kasebut.
Filter lan portrange filter
Filter port sampurna ing kasus sing sampeyan kudu entuk informasi babagan paket karo port khusus. Dadi, yen sampeyan mung kudu ndeleng jawaban utawa pitakon DNS, sampeyan kudu nemtokake port 53:
sudo tcpdump -vv -i ppp0 port 53
Tuladha:
Yen sampeyan pengin ndeleng paket http, sampeyan kudu ngetik port 80:
sudo tcpdump -vv -i ppp0 port 80
Tuladha:
Antarane liyane, bisa uga langsung nglacak macem-macem port. Filter ditrapake kanggo iki. nggambar:
sudo tcpdump portrange 50-80
Kaya sing sampeyan deleng, magepokan karo filter nggambar pilihan opsional dibutuhake. Cukup nyetel sawetara.
Filter Filter
Sampeyan uga bisa nampilake mung lalu lintas sing cocog karo protokol. Kanggo nindakake iki, gunakake jeneng protokol iki minangka filter. Ayo katon ing conto udp:
sudo tcpdump -vvv -i ppp0 udp
Tuladha:
Kaya sing sampeyan deleng ing gambar kasebut, sawise nglakokake perintah kasebut ing "Terminal" mung paket karo protokol ditampilake udp. Kanthi mangkono, sampeyan bisa nyaring liya, kayata, gondho:
sudo tcpdump -vvv -i ppp0 arp
utawa tcp:
sudo tcpdump -vvv -i ppp0 tcp
Filter net
Operator net mbantu paket filter adhedhasar sebutan jaringan. Nggunakake kaya ringkes - sampeyan kudu nemtokake sifat ing sintaks net, banjur ketik alamat jaringan. Iki minangka conto pandhuan kaya mengkene:
sudo tcpdump -i ppp0 net 192.168.1.1
Tuladha:
Filter ukuran ukuran
Kita ora nganggep rong saringan sing luwih menarik: kurang lan luwih gedhe. Saka tabel kanthi saringan, kita ngerti manawa entuk paket data output luwih akeh (kurang) utawa kurang (luwih gedhe) ukuran sing ditemtokake sawise ngetik atribut kasebut.
Upaminipun, kita pengin mung ngawasi paket sing ora ngluwihi 50-bit, banjur printah kasebut katon kaya:
sudo tcpdump -i ppp0 kurang 50
Tuladha:
Saiki ayo nampilake "Terminal" paket luwih gedhe saka 50 bit:
sudo tcpdump -i ppp0 luwih gedhe 50
Tuladha:
Kaya sing sampeyan ngerteni, kabeh ditrapake kanthi cara sing padha, mung bedane ing jeneng panyaring.
Kesimpulan
Ing pungkasan artikel, kita bisa nyimpulake manawa tim kasebut kêtandhang - Iki minangka alat sing bisa digunakake kanggo nglacak paket data sing dikirim liwat Internet. Nanging supaya ora cukup mung kanggo nulis printah kasebut dhewe "Terminal". Asil sing dipengini bakal entuk yen sampeyan nggunakake kabeh jinis pilihan lan saringan, uga kombinasi sing.
