Cara Tcpdump menangkap dan menganalisis paket

Tcpdump ialah alat analisis rangkaian yang berkuasa, digunakan terutamanya untuk analisis trafik rangkaian dalam sistem Linux dan macOS. Pentadbir rangkaian boleh menangkap dan menganalisis trafik rangkaian melalui tcpdump untuk menjalankan sniffing rangkaian dan memantau paket TCP/IP. Ia bergantung pada perpustakaan yang dipanggil "libpcap" untuk menangkap trafik rangkaian dengan cekap. Selain membantu pentadbir rangkaian mengenal pasti masalah rangkaian dan menyelesaikan masalah, tcpdump juga membantu memantau aktiviti rangkaian secara tetap dan menyemak keselamatan rangkaian. Data yang ditangkap disimpan dalam fail yang dipanggil "pcap", yang kemudiannya boleh dianalisis dengan lebih lanjut menggunakan alat analisis paket TCP/IP (seperti Wireshark) atau alat baris arahan lain untuk mendapatkan cerapan tentang trafik rangkaian dan komunikasi rangkaian.

Dalam panduan ini, kami akan menunjukkan cara memasang TCPDUMP pada sistem Linux dan cara menggunakan TCPDUMP untuk menangkap dan menganalisis paket TCP/IP.

Cara memasang Tcpdump

Banyak pengedaran Linux disertakan dengan tcpdump yang diprapasang. Jika tcpdump belum dipasang pada sistem anda, anda boleh memasangnya dengan mudah pada sistem Linux anda. Dalam sistem Ubuntu 22.04, anda boleh memasang tcpdump menggunakan arahan mudah.

$sudo apt pasang tcpump

Untuk memasang tcpump pada Fedora/CentOS, gunakan arahan berikut:

$sudo DNF pasang tcpump

Cara menangkap paket menggunakan arahan Tcpdump

Untuk melancarkan terminal dan menjalankan tcpdump dengan keistimewaan sudo untuk menangkap paket, tekan "Ctrl + Alt + t" untuk membuka terminal. tcpdump ialah alat berkuasa yang menyediakan banyak pilihan dan penapis untuk menangkap paket TCP/IP. Jika anda ingin menangkap semua paket trafik pada antara muka rangkaian semasa atau lalai, hanya gunakan arahan "tcpdump" yang mudah tanpa sebarang pilihan tambahan. Dengan cara ini anda boleh memantau trafik rangkaian dan menganalisis kandungan dan asal paket. Ingat untuk mengendalikan paket yang ditangkap dengan berhati-hati apabila menggunakan tcpdump untuk mengelak daripada mendedahkan maklumat sensitif atau melanggar privasi.

tcpdump

Arahan yang diberikan menangkap paket daripada antara muka rangkaian lalai sistem.

Pada penghujung pelaksanaan arahan ini, semua kiraan paket yang ditangkap dan ditapis akan dipaparkan pada terminal.

Mari kita fahami outputnya.

Tcpdump menyokong analisis pengepala paket TCP/IP. Ia memaparkan satu baris untuk setiap paket dan arahan akan terus dijalankan sehingga anda menekan "Ctrl + C" untuk menghentikannya.

Setiap talian yang disediakan oleh tcpdump mengandungi butiran berikut:

• Cap masa Unix (cth., 02:28:57.839523)
• Skim (IP)
• Nama hos sumber atau nombor IP dan port
• Nama hos sasaran atau nombor IP dan port
• Bendera TCP (contohnya, Bendera [F.]) menggunakan S (SYN), F (FIN), (ACK), P (PUSH), R (PUSH)
• Nombor jujukan data dalam paket (contohnya, SEQ 5829:6820)
• Nombor pengesahan (contohnya, (ACK 1016)
• Saiz tetingkap (cth. win 65535), menunjukkan bait yang tersedia dalam penimbal terima, diikuti dengan pilihan TCP
• Panjang muatan data (cth. panjang 991)

Untuk menyenaraikan semua antara muka rangkaian yang disenaraikan pada sistem anda, gunakan arahan "tcpump" dengan pilihan "-D".

$sudo tcpump -D

atau

$tcpdump——senarai—gangguan

Arahan ini menyenaraikan semua antara muka rangkaian yang disambungkan atau berjalan pada sistem Linux anda.

Tangkap paket daripada antara muka rangkaian yang ditentukan

Jika anda ingin menangkap paket TCP/IP yang melalui antara muka tertentu, gunakan bendera "-i" dengan arahan "tcpdump" dan nyatakan nama antara muka rangkaian.

$sudo tcpdump—saya tahu

Arahan yang diberikan menangkap trafik pada antara muka "lo". Jika anda ingin memaparkan butiran paket, gunakan bendera "-v". Untuk mencetak butiran yang lebih komprehensif, gunakan bendera "-vv" dengan arahan "tcpdump". Penggunaan dan analisis yang kerap membantu mengekalkan persekitaran rangkaian yang kukuh dan selamat.

Begitu juga, anda boleh menangkap trafik dari mana-mana antara muka menggunakan arahan berikut:

$sudo tcpump -i any

Tangkap paket menggunakan port tertentu

Anda boleh menangkap dan menapis paket dengan menyatakan nama antara muka dan nombor port. Contohnya, untuk menangkap paket rangkaian yang melalui antara muka "enp0s3" menggunakan port 22, gunakan arahan berikut:

$tcpdump—saya enp0s3 port 22

Arahan sebelumnya menangkap semua paket yang mengalir daripada antara muka "enp0s3".

Tangkap paket terhad menggunakan Tcpdump

Anda boleh menggunakan bendera "-c" dengan arahan "tcpdump" untuk menangkap bilangan paket yang ditentukan. Contohnya, untuk menangkap empat paket pada antara muka "enp0s3", gunakan arahan berikut:

$tcpdump—i enp0s3—c 4

Ganti nama antara muka dengan nama sistem anda.

Arahan Tcpdump yang berguna untuk menangkap trafik rangkaian

Di bawah, kami telah menyenaraikan beberapa arahan "tcpump" berguna yang akan membantu anda menangkap dan menapis trafik rangkaian atau paket dengan cekap:

Menggunakan arahan "tcpump" anda boleh menangkap paket untuk antara muka dengan IP destinasi yang ditetapkan atau IP sumber.

$tcpdump—i {interface—name} dst {destination—ip}

Anda boleh menangkap paket dengan saiz syot kilat 65535 bait, yang berbeza daripada saiz lalai 262144 bait. Dalam versi lama tcpdump, saiz tangkapan dihadkan kepada 68 atau 96 bait.

$tcpdump—saya enp0s3—s 65535

Cara menyimpan paket yang ditangkap ke fail

Jika anda ingin menyimpan data yang ditangkap ke dalam fail untuk analisis lanjut, anda boleh berbuat demikian. Jika ia menangkap trafik antara muka yang ditentukan, kemudian simpannya ke dalam "fail .pcap." Simpan data yang ditangkap ke dalam fail menggunakan arahan berikut:

$tcpdump—i—s 65535—w

Sebagai contoh, kami mempunyai antara muka "enps03". Simpan data yang ditangkap ini ke fail berikut:

$sudo tcpdump—saya enps03—w buang pcap

Pada masa hadapan, anda boleh menggunakan Wireshark atau alat analisis rangkaian lain untuk membaca fail yang ditangkap ini. Oleh itu, jika anda ingin menggunakan Wireshark untuk menganalisis paket, gunakan parameter "-w" dan simpannya ke fail ".pcap".

Kesimpulan

Dalam tutorial ini, kami menunjukkan cara menangkap dan menganalisis paket menggunakan tcpump melalui contoh yang berbeza. Kami juga mempelajari cara menyimpan trafik yang ditangkap ke fail ".pCap", yang boleh anda lihat dan analisis menggunakan Wireshark dan alat analisis rangkaian yang lain.

Atas ialah kandungan terperinci Cara Tcpdump menangkap dan menganalisis paket. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!