Heke ku hûn pêdivî bi pêşniyarên an jî pakêtên torên toran re bisekînin, ew çêtirîn e ku ji bo vê konsolê bikar bînin. tcpdump. Lê pirsgirêk di rêveberiya zehmet de bêtir dibe. Ew ê bikarhêner ji bo bikarhênerek gelemperî bi karanîna karanîna xemgîn e, lê ew tenê di pêşiya pêşîn de ye. Gotara wê diyar bike ku tcpdump tête rêxistin, çi çiqas e, ew çawa tê bikaranîn, û gelek mînakên wê bikar bînin.
Her weha bibînin: Tutorials ji bo sazkirina înternetê di Ubuntu, Debian, Ubuntu Server
Sazkirinê
Piraniya pêşvebiran li pergalên xebitandinê yên Linux-based, di lîsteya pêşdebirên pêşdebir ên tcpdumpê de, lê heger ji bo hin sedemên ku ew di belavkirina we de ne, hûn dikarin her tim bi kar bikin û saz bikin "Terminal". Heke ku OS di Debian de ye, û ew Ubuntu, Linux Mint, Linux-ê û her weha, hûn hewce dikin ku emrê vê rêve bikin:
sudo apt tcpdump saz bike
Dema ku hûn saz bikin hûn hewce bike ku şîfreya xwe bike. Ji kerema xwe, ku dema ku tête nivîsandinê ew nayê nîşandan, her weha ji bo sazkirina pejirandinê, divê hûn navnîşa xwe binivîse "D" û çapemeniyê Binivîse.
Heke hûn Red Hat, Fedora or CentOS heye, dê fermana sazkirinê dê vê yekê binêrin:
sudo yam tcpdump saz bike
Piştî ku karanîna sazkirinê ye, hûn dikarin bi cih re bikar bînin. Ev û gelek bêtir li ser nivîsê gotûbêj kirin.
Her weha bibînin: Rêveberiya PHP Installation ji bo Ubuntu Server
Syntax
Wekî ku emrê biryara din, tcpdump xweda sîteyê ye. Wî dizanin, hûn dikarin hemû parameterên pêwîst binivîsin ku dema ku biryara bicihkirina hesabê bigirin. Syntax e:
tcpdump options
Dema ku emrê bi kar tînin, divê hûn navnîşa xwe ya navnîşan diyar bikin. Filters û alternatîfên mîheng ne ne, lê ew ji bo veguherîna bêhtir veguherînin.
Options
Tevî ku ew ne pêwîst e ku rêbazek diyar bike, ew jî hewce ye ku ji bo kesên peyda bikin. Tîma lîsteya xwe ya xwe nîşan nake, lê tenê tenê herî populer, lê ew ji hêla piraniya karan ve çareser bikin.
| Hilbijêre | Nirxandin |
|---|---|
| -A | Hûn dikarin pelê ASCII di pakêtan deyn bikin |
| -l | Fonksiyonek pirtûkek zêde dike. |
| -i | Piştî ku hûn gihîştin we hewce ne ku ji bo veguherîna torneyê diyar bikin ku dê çavdêr kirin. Ji bo destpêkirina hemî kursên veguhestin, piştî "bijare" ji bo peyva "her" binivîse. |
| -c | Piştî pêvajoyên diyarkirî yên piştî kontrolkirina pêvajoya pêvajoyê derbas dike. |
| -w | Di raporta belgeyê de pelê nivîskî çêbike. |
| -e | Asta pêwendiya înternetê ya pakêtiya daneyên dataê nîşan dide. |
| -L | Tenê protokolên ku ji hêla interfaceê torê ve têne piştevanî têne vekirî dibe. |
| -C | Fîlmeke din dinivîse, heke pelê pelê nivîsîn heger hebûna wê ji diyarê yek ji mezintir e. |
| -r | Dosyek ji bo xwendina ku ji bo -w bijarte hate afirandin. |
| -j | Formattamp format dê ji bo pakêtên tomarkirinê tê bikaranîn. |
| -J | Hûn ji bo ku hûn hemû temaşeyên heyî yên TimeStampê bibînin |
| -G | Bikaranîna pelê bi pelê çêbikin. Vebijêr jî wateya demek demkî hewce dike, piştî ku têkeve log-ya nû dê bibe |
| -v, -vv, -vvv | Li ser hejmareke krîteran di çarçoveyê de, lêgerîna berbiçav dê bêtir berfirehtir (zêdebûna rêjeya nifşan bi rasterast re nimûne ye) |
| -f | Hilbijêre navnîşê navnîşê IP-ê IP-ê nîşan dide |
| -F | Hûn dikarin hûn agahdariya ji navnîşa torê ne, lê ji pelê diyarkirî |
| -D | Hemû navendên torneyên ku bikar tînin bikar anîn nîşan dide. |
| -n | Navekî navên navnîşan veguherîne |
| -Z | Di navnîşan de dê bikarhênerên kîjan hesabê hemû pelan çêbikin. |
| -K | Analîzên kontrola kontrolê |
| -q | Pêşniyarkirina agahdariya kurtayî |
| -H | Headersên 802.11s digire |
| -I | Dema ku pakêtên li ser çavdêriya çavdêriya girtinê tê girtin. |
Bi vebijarkên alternatîfan, li jêr em bi rasterast bi serîlêdanên wan veguherînin. Di heman demê de, fîlan dê bêne nirxandin.
Filters
Wekî ku di destpêkê de gotara gotinê de, hûn dikarin fîltên li ser pergala tcpdump zêde bikin. Niha ew ê herî populer dê bêne binçavkirin:
| Filter | Nirxandin |
|---|---|
| mêvandar | Navê navnîşê navnîş dike. |
| net | IP subnet û torneyê diyar dike |
| ip | Navnîşana protokola diyar dike |
| src | Pêşniyarên pakêtên ku ji navnîşana navnîşa şandin hatine şandin |
| dst | Li pîşeyên ku ji hêla navnîşana nasnameyê ve hatin şandin. |
| arp, udp, tcp | Tiştek ji hêla protokolê ve |
| portê | Displays agahiyên girêdayî portê taybet. |
| û, an jî | Ji bo fermana gelek fîlên hevgirtin tê bikaranîn. |
| kêmtir | Packages Outputs smaller or larger than the specified size |
Hemî fîlên jorîn dikarin bi hev re hev re hevpeyman bikin, da ku hûn di daxuyaniyê de hûn tenê agahdarî ku hûn dixwazin dixwazin bibînin. Ji bo bêtir agahdariyê bikar bînin ku bikar tînin bikaranîna fîlan, ew e.
Her weha: Fermanên Bikaranîna Bikaranîna di Lînkînanê de li Linux-ê têne binêrin
Nimûneyên bikaranîna
Vebijêrkên ttpdump-ê bikarhênerê bikar anîn dê bêne lîstekirin. Her kes nikare lîsteyê nebe, ji ber ku guhertinên wan neheq in.
Lîsteya navbarê bibînin
Tê pêşniyarkirin ku her bikarhêner bi destpêkê lîsteya hemî navokên xwe yên ku tê veşartin kontrol bikin. Ji sifrê jor em dizanin ku ji bo vê yekê hûn hewce nebe ku rêbazê bikar bînin -DJi ber vê yekê emrê di termînerê jêrîn de digire:
sudo tcpdump -D
Mînak:
Wekî ku hûn dikarin bibînin, hejmarên heşt deverên ku di mînakê de bi kar tcpdump têne dîtin têne dîtin. Gotar dê nimûne pêşkêş dikin ppp0, hûn dikarin bikar bînin.
Girtina germî ya normal
Heke hûn hewce ne ku navnîşa torê ya yekser bibînin, hûn dikarin bi vê bijareyê re bikin -i. Heke ji navnîşanê tê navnîşê navnîşa navnîşa navnîş nekin. Li vir nimûne ev e:
sudo tcpdump -i ppp0
Ji kerema xwe re bisekinin: hûn hewce ne ku berî emrê xwe berî "sudo" binivîse, ji ber ku ew mafê superuser heye.
Mînak:
Têbigere: Piştî hilweşandina Entera "Terminal", dê pakêtên balkêş têne berdewam kirin. Ji bo sekinandina wan rawestînin, divê hûn bi Ctrl + C rexnegiran bikin
Heke hûn biryara bêyî bijartinên bêtir û fîlan bisekinin, hûn ê forma jêrîn ji bo packetên tracked tracks bêm bibînin:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Cûre [P.], seq 1: 595, xal 1118, bijart 6494, vebijark [nop, nop, TS val 257060077 ecr 697597623], dirêjahî 594
Çiqas rengê zelalkirî ye:
- şîn - dema wextê gazê pakêtê;
- version-protocol;
- navnîşana kesk - kesk
- baxçê - navnîşana navdarê;
- gray - agahdariyên zêdetir li ser tcp;
- Mezinahiya pakê-sor (xwarinê tê nîşandan).
Ev syntax xwedî hêza ku di hundurê paceyê de hilbijêre "Terminal" bêyî bikaranîna alternatîfên din.
Travantra bi -v vebijêre
Wekî ji sifrê ve tê zanîn, bijarte -v we destûrê dide ku hûn agahdariya agahdariyê zêde bikin. Bila nimûne nimûne. Heman pevçûnê binihêre:
sudo tcpdump -v -i ppp0
Mînak:
Li vir hûn dikarin bibînin ku rêza jêrîn di hilberandinê de hat dîtin:
IP (tox 0x0, TTL 58, id 30675, 0 qut, flags [DF], proto TCP (6), dirêjahiya 52
Çiqas rengê zelalkirî ye:
- version-protocol;
- şîn - jiyanê protokola;
- kesk - dirêjahiya qada sereke;
- berbelav - versiyonê ya tcp;
- Mezinahiya sor.
Di heman demê de li peymana syntax hûn dikarin bijartî binivîsin -vv an -vvv, ku dê bêtir agahdariya agahdariyê li ser dîmenderê zêde bike.
The -w and -r option
Tabloyên bijartan heb da ku der barê pelê hilberîna pelê de di pelê cuda de da ku ew paşê paşde bibin. Vebijêrk ji bo vê yekê berpirsiyar e. -w. Ew hêsan e ku bi kar tîne, tenê di nav fermanê bikeve û paşê pelê paşerojê bi dirêjkirina dirêj bike ".pcap" re. Tiştek her nimûne binêrin:
sudo tcpdump -i ppp0-d file.pcap
Mînak:
Ji kerema xwe veşêre: Dema ku têketin têketin pelê, no text li ser "Dîmenderê" Termînalê tê nîşandan.
Dema ku hûn dixwazin hilberîna qeydkirinê bibînin, divê hûn bikar bînin -rpaşê navnîşa pelê berê hatî tomarkirin. Ew bêyî alternatîfên din û felan têne tête kirin:
sudo tcpdump -r file.pcap
Mînak:
Her du alternatîfan di rewşên ku hûn hewce ne ku hûn hewceyê ku ji bo pêşniyarên paşveçûna mezin a nivîsîn biparêzin.
IP filtering
Ji sifrê paqij, em dizanin ku dst Hûn dikarin li ser pêlên kongreya konsolê nîşan bidin ku tenê pakêtên ku bi navnîşana navnîşan de di nav devera nimûne diyar kirin. Ji ber vê yekê, pir hêsan e ku pakêtên bi komputerê wergirtin. Ji bo vê yekê, tîma pêwîst e ku navnîşana IP ya xwe diyar bike:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Mînak:
Wekî ku hûn dikarin bibînin, bilî bila dst, di tîma me de, me jî fîlmê qeydkirî ye ip. Di heman demê de, me komputer got ku gava pakêtan hilbijêrî, ew dê balê xwe bidin navnîşana IP-ê, û ne ji bo parameterên din.
Bi IP, hûn dikarin pakêtan bişînin û pakêtan bişînin. Di nimûne de em dîsa dîsa IP. Ew e, em ê dihêne vekin ku kîjan pakêtên ji komputerên din re ji navnîşanên din têne şandin. Ji bo vê yekê, fermana jêrîn bistîne:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Mînak:
Wekî ku hûn dikarin bibînin, em li pergala syntaxê li fîlterê guherand. dst li ser srcvî awayî makîneya ku ji bo şandina senderê bi IP-ê re dibêjin.
Peldanka HOST
Ji hêla IP-ê di tîm-ê-analogî de, em dikarin felotek diyar bikin mêvandarbi pakêtan re bi mêvandarên balkêşî. Ew e, di syntaxê de, di navnîşana IP-ê bişîne / wergirtî, hûn ê hewce bibin ku mêvandar wê diyar bikin. Ew weha xuya dike:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Mînak:
Li ser wêneyê hûn dikarin bibînin ku di "Terminal" Tenê pakêtên ku ji me ji IP-ê de google.com şandin hatine nîşandan. Wekî ku hûn dikarin bibînin, li şûna google hostê, hûn dikarin kesek din binivîse.
Ji ber ku peldanka IP-ê, syntax e: dst dikare were guhertin srcJi bo ku pakêtên xwe ji komputerê şandine bibînin:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Têbigere: Futtera mêvanî divê piştî dst an an jî src be, dê jî dê emrê çewtiyek çêbikin. Di rewşeke IP'yê de, li hemberî, dst û src di pêşiya ip-filterê de ne.
Filter and or
Heke ku hûn hewceyê çend felterên di heman demê de yekem fermî bikar bînin, hingê hûn hewce bike ku felalekê bigirin. û an an (li ser vê mijarê girêdayî ye). Bi taybetmendiyên fîlan di syntaxê de û bi van operatoran veşartin, hûn bi "wek" kar dikin wek kar bikin. Di nimûne de, ew weha ye:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 an ip src 95.47.144.254
Mînak:
Ji Biryara Syntaxê hûn dikarin bibînin ku em dixwazin dixwazin "Terminal" Hemû pakêtên ku di navnîşana heman navnîşan de bi navnîşana 95.47.144.254 û pakêtan hatin şandin. Hûn dikarin di vê îfadeyê de hin guherînan biguherînin. Ji bo nimûne, ji bilî IP-ê, HOST binivîse an rasterast bixwe navnîşan bike.
Port û fransî ya fransî
Filter portê Ji bo ku hûn hewceyê agahdariyên pakêtan bi pargîdanek taybet re bistînin temam e. Ji ber vê yekê, eger hûn tenê bersiva bersiva an jî DNS, hûn hewce bike ku porta 53:
sudo tcpdump -vv-i ppp0 port 53
Mînak:
Heke hûn dixwazin pakêtên http bibînin, divê hûn port 80:
sudo tcpdump -vv-i ppp0 port 80
Mînak:
Di nav tiştên din de, dibe ku hûn gavê zûtirîn pargîdanên bilez bikin. Ji bo vê yekê, felsefê bikî portrange:
Portreya 50-80-ê sudo tcpdump
Wekî ku hûn dikarin bibînin, bi hev re bi filterê portrange Ew hewce ne ku bijartên dî jî diyar bikin. Tenê rêjeyê diaxivin.
Filotînê Protokola
Hûn dikarin tenê tenê trafîkê nîşan bidin ku ji bo protokolê re. Ji bo vê yekê, navê protokolê wekî filterê bikar bînin. Bila nimûne nimûne udp:
sudo tcpdump -vvv-i ppp0 udp
Mînak:
Wekî ku hûn li ser wêneyê bicih bikin, li wêneyê bibînin "Terminal" Tenê pakêtan bi protokola tê nîşandan udp. Bi vî awayî, hûn dikarin ji hêla din re veşêre, wek nimûne, arp:
sudo tcpdump -vvv-i ppp0 arp
an tcp:
sudo tcpdump -vvv-i ppp0 tcp
Netê Filter
Operator net ku di navnîşa torê de ji hêla pakêtên paqijan ve dibe alîkar dike. Ew hêsan e ku wekî restên bikar bînin - hûn hewce ne ku hûn taybetmendiyê li syntax diyar bikin net, paşê navnîşana torê bike. Li vir em nimûne ev e:
sudo tcpdump -i ppp0 net 192.168.1.1
Mînak:
Filter by package size
Me felên din balkêş e: kêm û mezintir. Ji sifrê bi fîlan, em dizanin ku ew pargîdaneyên zêdetir danûstandinên daneyên xizmetê dikin (kêm) an kêm (mezintir) Mezin piştî piştî taybetmendiyê tête diyar kirin.
Dibe ku em tenê tenê bisekinin ku pakêtên ku ji bilî 50 bîtên nebêjin, hingê dê emê wiha bibînin:
sudo tcpdump -i ppp0 kêm 50
Mînak:
Now let's display in "Terminal" pakêtên ji 50 bîteyên mezin
sudo tcpdump -i ppp0 bêtir 50
Mînak:
Wekî ku hûn dikarin bibînin, ew wekhev têne bikar anîn, di heman demê de tenê cûdahî di nav fala filterê ye.
Encam
Di dawiya gotara de em gihîştin koma tîm tcpdump - Vebijêrkek mezin e ku hûn dikarin li ser înternetê veguherîna pakêtek datatûkek dane. Lê ji bo vê yekê ew tenê bes e ku emrê xwe bikeve nav xwe "Terminal". Ji bo encamkirina encamên ku hewceyê hemî alternatîf û felterên bikar tînin, dê û her weha hevpeymanên xwe bigirin.
