ホームページ >コンピューターのチュートリアル >コンピュータ知識 >Tcpdump がパケットをキャプチャして分析する方法
Tcpdump は強力なネットワーク分析ツールで、主に Linux システムおよび macOS のネットワーク トラフィック分析に使用されます。ネットワーク管理者は、tcpdump を通じてネットワーク トラフィックをキャプチャおよび分析し、ネットワーク スニッフィングを実行し、TCP/IP パケットを監視できます。 「libpcap」と呼ばれるライブラリを利用して、ネットワーク トラフィックを効率的にキャプチャします。 tcpdump は、ネットワーク管理者がネットワークの問題を特定し、問題をトラブルシューティングするのに役立つだけでなく、ネットワーク アクティビティを定期的に監視し、ネットワーク セキュリティをチェックするのにも役立ちます。キャプチャされたデータは「pcap」と呼ばれるファイルに保存され、TCP/IP パケット分析ツール (Wireshark など) またはその他のコマンド ライン ツールを使用してさらに分析し、ネットワーク トラフィックとネットワーク通信についての洞察を得ることができます。
このガイドでは、Linux システムに TCPDUMP をインストールする方法と、TCPDUMP を使用して TCP/IP パケットをキャプチャして分析する方法を説明します。
多くの Linux ディストリビューションには、tcpdump がプリインストールされています。 tcpdump がシステムにまだインストールされていない場合は、Linux システムに簡単にインストールできます。 Ubuntu 22.04 システムでは、簡単なコマンドを使用して tcpdump をインストールできます。
$sudo apt インストール tcpump
Fedora/CentOS に tcpump をインストールするには、次のコマンドを使用します:
$sudo DNF インストール tcpump
ターミナルを起動し、sudo 権限で tcpdump を実行してパケットをキャプチャするには、「Ctrl Alt t」を押してターミナルを開きます。 tcpdump は、TCP/IP パケットをキャプチャするための多くのオプションとフィルターを提供する強力なツールです。現在またはデフォルトのネットワーク インターフェイス上のすべてのトラフィック パケットをキャプチャしたい場合は、追加のオプションなしで単純な「tcpdump」コマンドを使用するだけです。このようにして、ネットワーク トラフィックを監視し、パケットの内容と送信元を分析できます。 tcpdump を使用するときは、機密情報の漏洩やプライバシーの侵害を避けるために、キャプチャされたパケットを慎重に扱うようにしてください。
tcpdump
指定されたコマンドは、システムのデフォルトのネットワーク インターフェイスからパケットをキャプチャします。
このコマンドの実行が終了すると、キャプチャされフィルタリングされたすべてのパケット数が端末に表示されます。
出力を理解しましょう。
Tcpdump は、TCP/IP パケット ヘッダーの分析をサポートします。パケットごとに 1 行が表示され、「Ctrl C」を押して停止するまでコマンドは実行され続けます。
tcpdump によって提供される各行には、次の詳細が含まれます:
$sudo tcpump-D
###または###$tcpdump—リスト—中断
このコマンドは、Linux システムに接続されているか、Linux システム上で実行されているすべてのネットワーク インターフェイスを一覧表示します。
指定されたコマンドは、「lo」インターフェイスでトラフィックをキャプチャします。パケットの詳細を表示したい場合は、「-v」フラグを使用します。より包括的な詳細を出力するには、「tcpdump」コマンドで「-vv」フラグを使用します。定期的な使用と分析は、強力で安全なネットワーク環境を維持するのに役立ちます。
同様に、次のコマンドを使用して、任意のインターフェイスのトラフィックをキャプチャできます:
$sudo tcpump -iany
インターフェイス名とポート番号を指定することで、パケットをキャプチャおよびフィルタリングできます。たとえば、ポート 22 を使用して「enp0s3」インターフェイスを通過するネットワーク パケットをキャプチャするには、次のコマンドを使用します。
$tcpdump—i enp0s3 ポート 22前のコマンドは、「enp0s3」インターフェイスから流れるすべてのパケットをキャプチャします。
$tcpdump—i enp0s3—c 4
インターフェイス名をシステムの名前に置き換えます。
「tcpump」コマンドを使用すると、定義された宛先 IP または送信元 IP を持つインターフェイスのパケットをキャプチャできます。
$tcpdump—i {インターフェイス—名前} dst {宛先—ip}
スナップショット サイズが 65535 バイトのパケットをキャプチャできます。これは、デフォルト サイズの 262144 バイトとは異なります。古いバージョンの tcpdump では、キャプチャ サイズは 68 バイトまたは 96 バイトに制限されていました。
$tcpdump—i enp0s3—s 65535
$tcpdump—i—s 65535—w.pcap
たとえば、「enps03」インターフェイスがあります。このキャプチャしたデータを次のファイルに保存します:
$sudo tcpdump—i enps03—w dump.pcap
将来的には、Wireshark または他のネットワーク分析ツールを使用して、このキャプチャされたファイルを読み取ることができます。したがって、Wireshark を使用してパケットを分析する場合は、「-w」パラメータを使用して「.pcap」ファイルに保存します。
#########結論は#########
以上がTcpdump がパケットをキャプチャして分析する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。