Ikiwa unahitaji kuchambua au kukatiza pakiti za mtandao katika Linux, basi ni bora kutumia matumizi ya kiweko tcpdump. Lakini shida inatokea katika usimamizi wake ngumu badala yake. Itaonekana kwa mtumiaji wa wastani kuwa kufanya kazi na matumizi sio ngumu, lakini hii ni kwa mtazamo wa kwanza. Nakala hiyo itaelezea jinsi tcpdump inavyofanya kazi, ni syntax gani, jinsi ya kuitumia, na mifano kadhaa ya matumizi yake itapewa.
Angalia pia: Miongozo ya kuanzisha muunganisho wa Mtandao katika Ubuntu, Debian, Ubuntu Server
Ufungaji
Watengenezaji wengi wa mifumo ya msingi ya Linux ni pamoja na matumizi ya tcpdump kwenye orodha ya zilizotangazwa, lakini ikiwa kwa sababu fulani haiko katika usambazaji wako, unaweza kupakua na kusasisha kila wakati kupitia "Kituo". Ikiwa OS yako inategemea Debian, na hizi ni Ubuntu, Linux Mint, Kali Linux na kadhalika, unahitaji kutekeleza agizo hili:
sudo apt kufunga tcpdump
Wakati wa kusanikisha, unahitaji kuingiza nywila. Tafadhali kumbuka kuwa wakati unapiga, hauonyeshwa, pia ili kudhibitisha mpangilio unahitaji kuingiza mhusika D na bonyeza Ingiza.
Ikiwa unayo Kofia Nyekundu, Fedora au CentOS, basi amri ya ufungaji itaonekana kama hii:
sudo yam kufunga tcpdump
Baada ya matumizi imewekwa, inaweza kutumika mara moja. Hii na mengi zaidi yatajadiliwa baadaye katika maandishi.
Tazama pia: Mwongozo wa Ufungaji wa PHP kwenye Ubuntu Server
Syntax
Kama amri nyingine yoyote, tcpdump ina syntax yake mwenyewe. Kumjua, unaweza kuweka vigezo vyote muhimu ambavyo vitazingatiwa wakati wa kutekeleza amri. Syntax ni kama ifuatavyo:
chaguzi za tcpdump-vichungi vya interface
Wakati wa kutumia amri, lazima ueleze kigeuzi cha kufuatilia. Vichungi na chaguzi ni lahaja ya hiari, lakini inaruhusu kwa muundo rahisi zaidi.
Chaguzi
Ingawa sio lazima kuonyesha chaguo, bado unahitaji kuorodhesha zile zinazopatikana. Jedwali halionyeshi orodha yao yote, lakini ni maarufu tu, lakini ni zaidi ya kutosha kutatua kazi nyingi.
| Chaguo | Ufafanuzi |
|---|---|
| -A | Inakuruhusu kupanga vifurushi na muundo wa ASCII |
| -l | Anaongeza kazi ya kusonga. |
| -i | Baada ya kuingia, unahitaji kutaja kigeuzio cha mtandao ambacho kitaangaliwa. Kuanza kuangalia nafasi zote, ingiza neno "yoyote" baada ya chaguo |
| -c | Inamaliza mchakato wa kufuatilia baada ya kuangalia idadi fulani ya vifurushi |
| -w | Hutengeneza faili ya maandishi na ripoti ya ukaguzi |
| -e | Inaonyesha kiwango cha unganisho la wavuti |
| -L | Huonyesha tu proteni hizo ambazo interface maalum ya mtandao husaidia. |
| -C | Huunda faili nyingine wakati wa kurekodi kifurushi ikiwa saizi yake ni kubwa kuliko ilivyoainishwa |
| -r | Fungua faili ya kusoma ambayo iliundwa kutumia chaguo la -w |
| -j | Muundo wa TimeStamp utatumika kurekodi pakiti |
| -J | Inakuruhusu kuona muundo wote wa TimeStamp unaopatikana |
| -G | Inatumika kuunda faili ya logi. Chaguo pia inahitaji thamani ya muda, baada ya hapo logi mpya itaundwa |
| -v, -vv, -vv | Kulingana na idadi ya wahusika katika chaguo, matokeo ya amri yatafafanuliwa zaidi (kuongezeka ni sawasawa na idadi ya wahusika) |
| -f | Pato linaonyesha jina la kikoa la anwani za IP |
| -F | Inaruhusu kusoma habari sio kutoka kwa wavuti ya mtandao, lakini kutoka kwa faili iliyoainishwa |
| -D | Inaonyesha nafasi zote za mtandao ambazo zinaweza kutumika. |
| -n | Inazima onyesho la majina ya kikoa |
| -Z | Inabainisha mtumiaji ambaye faili zote zitaundwa. |
| -K | Kuruka Uchambuzi wa Checksum |
| -q | Muhtasari wa Maonyesho |
| -H | Gundua Vichwa vya kichwa 802.11s |
| -I | Inatumika wakati ukamataji pakiti katika hali ya ufuatiliaji |
Baada ya kuchunguza chaguzi, chini kidogo tutaenda moja kwa moja kwenye matumizi yao. Kwa sasa, vichungi vitazingatiwa.
Vichungi
Kama ilivyoelezewa mwanzoni mwa kifungu, unaweza kuongeza vichungi kwenye syntax ya tcpdump. Sasa maarufu zaidi kati yao yatazingatiwa:
| Kichungi | Ufafanuzi |
|---|---|
| mwenyeji | Inabainisha jina la mwenyeji |
| wavu | Inadhihirisha subnets za IP na mitandao |
| ip | Inataja anwani ya itifaki |
| src | Inaonyesha pakiti zilizotumwa kutoka kwa anwani maalum |
| dst | Inaonyesha pakiti zilizopokelewa na anwani maalum |
| arp, udp, tcp | Kuchuja na moja ya itifaki |
| bandari | Huonyesha habari inayohusiana na bandari fulani |
| na, au | Inachanganya vichungi kadhaa katika amri. |
| chini ya | Pakiti za mazao ni ndogo au kubwa kuliko ukubwa uliowekwa |
Vichungi vyote hapo juu vinaweza kuunganishwa na kila mmoja, kwa hivyo katika utoaji wa amri utaona tu habari ambayo unataka kuona. Kuelewa kwa undani zaidi matumizi ya vichungi hapo juu, inafaa kutoa mifano.
Tazama pia: Amri zinazotumika Mara kwa mara kwenye terminal ya Linux
Vielelezo vya Matumizi
Chaguzi za syntax zinazotumiwa mara kwa mara kwa amri ya tcpdump sasa zitaonyeshwa. Zote haziwezi kuorodheshwa, kwa kuwa kunaweza kuwa na idadi isiyo kamili ya tofauti zao.
Angalia orodha ya nafasi
Inapendekezwa kuwa kila mtumiaji mwanzoni angalia orodha ya njia zake zote za mtandao ambazo zinaweza kufuatwa. Kutoka kwa jedwali hapo juu tunajua kuwa kwa hili unahitaji kutumia chaguo -D, kwa hivyo katika terminal, endesha amri ifuatayo:
sudo tcpdump -D
Mfano:
Kama unavyoona, mfano una nyuso nane ambazo zinaweza kutazamwa kwa kutumia amri ya tcpdump. Nakala hiyo itatoa mifano na ppp0Unaweza kutumia nyingine yoyote.
Ukamataji wa kawaida wa trafiki
Ikiwa unahitaji kufuatilia interface moja ya mtandao, unaweza kufanya hivyo kwa kutumia chaguo -i. Usisahau kuingiza jina la kiufundi baada ya kuingia ndani. Hapa kuna mfano wa amri kama hii:
sudo tcpdump -i ppp0
Tafadhali kumbuka: kabla ya amri unahitaji kuingiza "sudo", kwani inahitaji haki za mkuu.
Mfano:
Kumbuka: baada ya kushinikiza Ingiza "terminal", pakiti zilizokamilishwa zitaonyeshwa daima. Ili kuzuia mtiririko wao, unahitaji bonyeza kitufe cha Ctrl + C.
Ikiwa utatoa amri bila chaguzi na vichungi zaidi, utaona umbizo lifuatalo la kuonyesha pakiti zilizofuatiliwa:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Bendera [P.], seq 1: 595, ack 1118, win 6494, chaguzi [nop, nop, TS val 257060077 ecr 697597623], urefu 594
Ambapo rangi imeangaziwa:
- bluu - wakati wa kupokea pakiti;
- machungwa - toleo la itifaki;
- kijani - anwani ya mtumaji;
- violet - anuani ya mpokeaji;
- kijivu - habari ya ziada juu ya tcp;
- nyekundu - saizi ya pakiti (iliyoonyeshwa kwa ka).
Syntax hii ina uwezo wa kuonyesha kwenye dirisha. "Kituo" bila kutumia chaguzi za ziada.
Utekaji wa trafiki na chaguo la -v
Kama inavyojulikana kutoka meza, chaguo -v utapata kuongeza idadi ya habari. Wacha tuchukue mfano. Angalia interface ile ile:
sudo tcpdump -v -i ppp0
Mfano:
Hapa unaweza kuona kwamba safu ifuatayo ilionekana kwenye pato:
IP (tos 0x0, ttl 58, id 30675, kukabiliana 0, bendera [DF], proto TCP (6), urefu 52
Ambapo rangi imeangaziwa:
- machungwa - toleo la itifaki;
- bluu - itifaki ya maisha;
- kijani - urefu wa kichwa cha shamba;
- zambarau - toleo la kifurushi cha tcp;
- nyekundu - saizi ya pakiti.
Pia katika syntax ya amri unaweza kuandika chaguo -vv au -vvv, ambayo itaongeza zaidi kiwango cha habari iliyoonyeshwa kwenye skrini.
Chaguo -m na -r
Jedwali la chaguzi lilitaja uwezo wa kuokoa mazao yote kwenye faili tofauti ili uweze kuitazama baadaye. Chaguo inawajibika kwa hili. -w. Kutumia ni rahisi sana, bonyeza tu katika amri, na kisha ingiza jina la faili ya baadaye na ugani ".pcap". Wacha tuangalie mfano:
sudo tcpdump -i ppp0 -w faili.pcap
Mfano:
Tafadhali kumbuka: wakati wa kuandika magogo kwa faili, hakuna maandishi yoyote yaliyoonyeshwa kwenye skrini ya "terminal".
Unapotaka kuona matokeo yaliyorekodiwa, lazima utumie chaguo -r, baada ya hapo andika jina la faili iliyorekodiwa hapo awali. Inatumika bila chaguzi zingine na vichungi:
sudo tcpdump -r file.pcap
Mfano:
Chaguzi hizi zote mbili ni nzuri katika hali ambapo unahitaji kuhifadhi kiasi kikubwa cha maandishi kwa kupakua baadaye.
Uchujaji wa IP
Kutoka kwenye meza ya vichungi tunajua hivyo dst hukuruhusu kuonyesha kwenye skrini ya kiweko pakiti hizo pekee ambazo zilipokelewa na anwani ambayo imeainishwa kwenye syntax ya amri. Kwa hivyo, ni rahisi sana kutazama pakiti zilizopokelewa na kompyuta yako. Ili kufanya hivyo, timu inahitaji tu kutaja anwani yake ya IP:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Mfano:
Kama unaweza kuona, mbali dst, pia tulisajili kichungi katika timu ip. Kwa maneno mengine, tuliiambia kompyuta kwamba wakati wa kuchagua pakiti utatilia maanani anwani yao ya IP, na sio kwa vigezo vingine.
Na IP, unaweza pia kuchuja vifurushi vya nje. Tutatoa IP yetu tena katika mfano. Hiyo ni, sasa tutafuatilia ni pakiti gani zilizotumwa kutoka kwa kompyuta hadi anwani zingine. Ili kufanya hivyo, endesha amri ifuatayo:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Mfano:
Kama unaweza kuona, kwenye syntax ya amri tulibadilisha kichungi dst on src, na hivyo kuambia mashine itafute mtumaji zaidi ya IP.
Kuchuja zaidi
Kwa kulinganisha na IP katika amri, tunaweza kutaja kichungi mwenyejikuchuja pakiti na mwenyeji wa riba. Hiyo ni, katika syntax, badala ya anwani ya IP ya mtumaji / mpokeaji, utahitaji kutaja mwenyeji wake. Inaonekana kama hii:
sudo tcpdump -i ppp0 dst mwenyeji google-public-dns-a.google.com
Mfano:
Katika picha unaweza kuona kwamba ndani "Kituo" pakiti tu ambazo zilitumwa kutoka kwa IP yetu kwenda kwa mwenyeji wa google.com zinaonyeshwa. Kama unavyoweza kuelewa, badala ya mwenyeji wa google, unaweza kuingiza yoyote.
Kama ilivyo kwa kuchuja IP, syntax dst inaweza kubadilishwa na srcIli kuona vifurushi ambavyo hutumwa kwa kompyuta yako:
sudo tcpdump -i ppp0 src mwenyeji google-public-dns-a.google.com
Kumbuka: kichujio cha mwenyeji lazima baada ya dst au src, vinginevyo amri itatupa kosa. Katika kesi ya kuchuja na IP, kinyume chake, dst na src ziko mbele ya kichujio cha ip.
Kutumia na na au kuchuja
Ikiwa unahitaji kutumia vichungi kadhaa katika amri moja mara moja, basi unahitaji kuomba kichujio na au au (inategemea kesi). Kwa kutaja vichungi kwenye syntax na kuwatenganisha na waendeshaji hawa, utawafanya wafanye kazi kama moja. Kwa mfano, inaonekana kama hii:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 au ip src 95.47.144.254
Mfano:
Syntax ya amri inaonyesha kile tunataka kuonyesha "Kituo" pakiti zote zilizotumwa kushughulikia 95.47.144.254 na pakiti zilizopokelewa na anuani hiyo hiyo. Unaweza pia kubadilisha vijidudu vingine katika usemi huu. Kwa mfano, badala ya IP, taja HOST au ubadilishe moja kwa moja anwani wenyewe.
Kichujio cha bandari na bandari
Kichungi bandari kamili katika kesi ambapo unahitaji kupata habari kuhusu vifurushi na bandari fulani. Kwa hivyo, ikiwa unahitaji tu kuona majibu au maswali ya DNS, unahitaji kutaja bandari 53:
sudo tcpdump -vv -i ppp0 bandari 53
Mfano:
Ikiwa unataka kutazama pakiti za http, unahitaji kuingiza bandari 80:
sudo tcpdump -vv -i ppp0 bandari 80
Mfano:
Kati ya mambo mengine, inawezekana mara moja kufuatilia anuwai ya bandari. Filter inatumika kwa hii. bandia:
picha ya sudo tcpdump 50-80
Kama unaweza kuona, kwa kushirikiana na kichungi bandia chaguzi za hiari inahitajika. Weka tu anuwai.
Itifaki ya Itifaki
Unaweza pia kuonyesha trafiki tu ambayo inalingana na itifaki yoyote. Ili kufanya hivyo, tumia jina la itifaki hii kama kichungi. Wacha tuangalie mfano udp:
sudo tcpdump -vvv -i ppp0 udp
Mfano:
Kama unavyoona kwenye picha, baada ya kutekeleza agizo ndani "Kituo" pakiti tu zilizo na itifaki zilionyeshwa udp. Ipasavyo, unaweza kuchuja na wengine, kwa mfano, arp:
sudo tcpdump -vvv -i ppp0 arp
au tcp:
sudo tcpdump -vvv -i ppp0 tcp
Kichujio cha wavu
Operesheni wavu husaidia pakiti za kuchuja kulingana na jina la mtandao. Kutumia ni rahisi kama ile iliyobaki - unahitaji kutaja sifa kwenye syntax wavu, kisha ingiza anwani ya mtandao. Hapa kuna mfano wa amri kama hii:
sudo tcpdump -i ppp0 net 192.168.1.1
Mfano:
Kuchuja kwa ukubwa wa pakiti
Hatukuzingatia vichungi viwili vya kupendeza: chini na kubwa. Kutoka kwenye meza iliyo na vichungi, tunajua kwamba hutumikia pakiti za data zaidi (chini) au chini (kubwa) saizi iliyoainishwa baada ya kuingia kwenye sifa.
Tuseme tunataka kufuatilia pakiti tu ambazo hazizidi alama ya-50, basi amri itaonekana kama hii:
sudo tcpdump -i ppp0 chini ya 50
Mfano:
Sasa wacha tuonyeshe "Kituo" pakiti kubwa kuliko bits 50:
sudo tcpdump -i ppp0 kubwa 50
Mfano:
Kama unaweza kuona, hutumiwa kwa njia ile ile, tofauti pekee iko katika jina la kichujio.
Hitimisho
Mwisho wa kifungu, tunaweza kuhitimisha kuwa timu tcpdump - Hii ni zana bora ambayo unaweza kufuatilia pakiti yoyote ya data iliyopitishwa kwenye mtandao. Lakini kwa hili haitoshi tu kuingiza amri yenyewe "Kituo". Matokeo yanayopatikana yatapatikana tu ikiwa unatumia chaguzi na vichungi vya kila aina, pamoja na mchanganyiko wao.
