Хэрэв та Линукс дээр сүлжээний пакетуудыг задлан шинжлэх, эсвэл далдлах шаардлагатай бол консолийн хэрэгслийг ашиглах нь зүйтэй юм. tcpdump. Гэвч энэ нь төвөгтэй менежменттэй холбоотой асуудал үүсдэг. Энэ нь энгийн хэрэглэгч хэрэглэгчтэй ажиллахад тохиромжгүй мэт санагдах боловч энэ нь зөвхөн эхний харцаар л харагдана. Товхимол нь tcpdump хэрхэн зохион байгуулж байгаа, ямар синтакс, үүнийг хэрхэн ашиглах, түүний хэрэглээний олон жишээг тайлбарлах болно.
Үзнэ үү: Ubuntu, Debian, Ubuntu Server дээр Интернетийн холболт тогтоох заавар
Суурилуулалт
Линүкс дээр суурилсан үйлдлийн системүүдийн ихэнх хөгжүүлэгчид урьдчилан суулгагдсан тэдгээрийн жагсаалтын tcpdump хэрэгслийг агуулдаг боловч хэрэв ямар нэгэн шалтгааны улмаас энэ нь таны түгээлтэд байдаггүй бол та үүнийг татаж авч суулгаж болно "Терминал". Хэрэв таны OS Debian дээр суурилсан бөгөөд энэ нь Ubuntu, Linux Mint, Калины Линукс гэх мэт үйлдлийн системтэй адил юм.
sudo apt tcpdump -г суулгах хэрэгтэй
Суулгахад та нууц үгээ оруулах хэрэгтэй. Үүнийг бичиж байх үед харуулахгүй тул суулгахыг баталгаажуулахын тулд та тэмдэгт оруулах ёстой гэдгийг анхаарна уу "D" болон дар Оруулна уу.
Хэрэв та Red Hat, Fedora эсвэл CentOS байгаа бол суулгах тушаал дараах байдалтай байна:
sudo йам tcpdump-г суулгах хэрэгтэй
Ашиглаж суулгасны дараа та үүнийг нэн даруй ашиглаж болно. Энэ болон цаашлаад текст дээр хэлэлцэх болно.
Үүнд: Ubuntu Server-ийн PHP суулгалтын гарын авлага
Синтакс
Бусад дурын нэгэн адил tcpdump өөрийн гэсэн синтакстай байдаг. Түүнийг мэдэхийн тулд тушаалыг гүйцэтгэх үед шаардлагатай бүх параметрүүдийг тохируулж болно. Синтакс нь:
tcpdump сонголтууд -i интерфэйсийн шүүлтүүрүүд
Тушаалыг ашиглахдаа та интерфэйсийг ашиглахыг зааж өгөх ёстой. Шүүлтүүрүүд болон сонголтууд заавал байх ёстой хувьсагч биш боловч илүү уян хатан тохиргоог зөвшөөрдөг.
Сонголтууд
Хэдийгээр энэ сонголтыг тодорхойлох шаардлагагүй ч боломжтой байгаа зүйлсийг жагсаах шаардлага хэвээр байна. Хүснэгт нь бүхэл бүтэн жагсаалтыг харуулдаггүй, зөвхөн хамгийн алдартай зүйл боловч тэдгээрийн дийлэнх ажлуудыг шийдэх хангалттай хангалттай биш юм.
| Сонголт | Тодорхойлолт |
|---|---|
| -А | Багцыг ASCII форматаар ангилах боломжтой |
| -l | Гүйлгэх функцийг нэмнэ. |
| -i | Оруулсаны дараа танд хяналт хийх сүлжээний интерфэйсийг тодорхойлно. Бүх интерфэйсийг дагаж эхлэхийн тулд опшины дараа "аль нэг" гэсэн үгээ бичнэ үү. |
| -c | Тодорхой тооны багцыг шалгасны дараа хяналтын үйл явцыг гүйцээнэ. |
| -w | Баталгаажуулалтын тайлантай текст файл үүсгэдэг. |
| -e | Өгөгдлийн багцын интернет холболтын түвшинг харуулна. |
| -L | Зөвхөн сүлжээний интерфэйсээр дэмжигддэг эдгээр протоколуудыг зөвхөн харуулдаг. |
| -C | Багцыг зааж өгөхдөө том хэмжээтэй бол өөр нэг файл үүсгэх болно. |
| -r | -W тохируулгын хамт үүсгэсэн унших файлыг нээнэ. |
| -j | TimeStamp форматыг бичлэг хийхэд ашиглах болно. |
| -J | Бүх боломжтой форматуудыг TimeStamp-ыг үзэх боломжтой |
| -G | Логтой файл үүсгэхэд хэрэглэгддэг. Энэ сонголт нь мөн түр зуурын утга шаарддаг бөгөөд дараа нь шинэ бүртгэл үүсгэх болно |
| -v, -vv, -vvв | Опционы тэмдэгтүүдийн тооноос хамааран тушаалын гаралт илүү нарийвчлалтай болно (өсөлт нь тэмдэгтүүдийн тоотой шууд пропорциональ байна) |
| -f | Гаралт нь IP хаягийн домэйн нэрийг харуулж байна |
| -F | Сүлжээний интерфэйсээс биш тодорхой заасан файлаас унших боломжийг танд олгодог |
| -D | Бүх сүлжээний интерфэйсүүдийг ашиглах боломжтой. |
| -n | Домэйн нэрүүдийн дэлгэцийг идэвхгүй болго |
| -Z | Бүх файлыг үүсгэхийн тулд хэрэглэгчийн нэрийг зааж өгнө. |
| -K | Чекийн шинжилгээ хийх алга байна |
| -q | Товч мэдээллийг харуулах |
| -H | 802.11s толгойнуудыг илрүүлэх |
| -I | Хяналтын горимд пакетуудыг барьж байх үед ашиглах |
Эдгээр хувилбаруудыг шалгаж үзсэний үндсэн дээр бид тэдгээрийн хэрэглээнд шууд ханддаг. Энэ хооронд шүүлтүүрийг авч үзэх болно.
Шүүлтүүрүүд
Өгүүллийн эхэн хэсэгт дурдсанчлан шүүлтүүр нь tcpdump синтакс дээр нэмж болно. Одоо тэдний хамгийн их анхаарал хандуулах болно.
| Шүүлтүүр | Тодорхойлолт |
|---|---|
| хост | Хост нэрийг зааж өгнө. |
| цэвэр | IP дэд сүлжээ болон сүлжээг заана |
| ip | Протоколын хаягийг зааж өгнө |
| src | Заасан хаягаас илгээсэн пакетуудыг харуулна |
| гэх мэт | Заасан хаягаар хүлээн авсан пакетуудыг харуулна. |
| arp, udp, tcp | Протоколуудын аль нэгээр шүүгдэх |
| порт | Тусгай порттой холбоотой мэдээллийг харуулна. |
| болон, эсвэл | Олон шүүлтүүрийг командаар хослуулан хэрэглэхэд ашигладаг. |
| бага, илүү | Гаралтын багцууд нь тодорхой хэмжээтэй хэмжээнээс бага буюу илүү хэмжээтэй |
Дээрх бүх шүүлтүүрүүдийг бие биентэйгээ нэгтгэж болох тул тушаалыг гаргахдаа зөвхөн таны хүссэн мэдээллийг ажиглах болно. Дээрх шүүлтүүрийн ашиглалтыг илүү нарийвчлан үзэхийн тулд жишээг өгөх нь зүйтэй юм.
Линукс терминал дээр байнга ашиглагддаг тушаалуудыг үзнэ үү
Хэрэглээний жишээ
Түвд ашиглагдаж байгаа tcpdump синтаксын тохируулгууд одоо жагсаагдсан байх болно. Тэдний өөрчлөлт нь хязгааргүй байж болох учраас тэдгээрийг бүгдийг нь жагсаах боломжгүй.
Интерфэйсийн жагсаалтыг харах
Хэрэглэгч бүр эхлээд түүний сүлжээний интерфэйсүүдийн жагсаалтыг шалгахыг зөвлөдөг. Дээрх хүснэгтээс бид үүнийг ашиглахын тулд энэ сонголтыг ашиглах хэрэгтэй -DТиймээс терминал дээр дараах тушаалыг ажиллуулна:
sudo tcpdump -D
Жишээ нь:
Жишээ нь tcpdump тушаал ашиглан үзэж болох 8 интерфэйстэй байдаг. Энэ нийтлэл нь ppp0, та өөр ямар ч хэрэглэж болно.
Замын хөдөлгөөний хэвийн ажиллагаа
Хэрэв та ганц сүлжээний интерфэйсийг хянах хэрэгтэй бол та үүнийг сонголтоор хийж болно -i. Үүний дараа интерфэйсийн нэрийг оруулахаа мартуузай. Иймэрхүү тушаалыг ажиллуулах жишээ энд байна:
sudo tcpdump -i ppp0
Тэмдэглэл: Та тушаалынхаа өмнө "sudo" гэж оруулбал супер хэрэглэгчийн эрх шаарддаг.
Жишээ нь:
Тэмдэглэл: "Терминал" дээр Enter дарахад таслагдах пакетууд тасралтгүй гарч ирнэ. Тэдний урсгалыг зогсоохын тулд Ctrl + C товчлуурын хослолыг дарах хэрэгтэй.
Хэрэв та нэмэлт сонголтууд болон шүүлтүүргүйгээр тушаалыг ажиллуулж байгаа бол та хянагдсан пакетуудыг харуулах дараах форматыг харах болно:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], seq 1: 595, ack 1118, win 6494, options [nop, nop, TS val 257060077 ecr 697597623], урт 594
Өнгө тодруулсан бол:
- хөх - багцыг хүлээн авах хугацаа;
- улбар шар - протоколын хувилбар;
- ногоон - илгээгчийн хаяг;
- Нил ягаан - хүлээн авагчийн хаяг;
- grey - tcp-ийн тухай нэмэлт мэдээлэл;
- улаан - пакетийн хэмжээ (байт харагдана).
Энэ синтакс нь цонхонд гарах боломжтой байдаг "Терминал" нэмэлт сонголт хэрэглэхгүйгээр.
-V тохируулгатай урсгалыг авах
Хүснэгтээс мэдсэнээр, сонголт -v Мэдээллийн хэмжээг нэмэгдүүлэх боломжийг олгодог. Жишээг авч үзье. Ижил интерфэйсийг шалгана уу:
sudo tcpdump -v -i ppp0
Жишээ нь:
Эндээс дараах мөрийг гаралтанд харуулсан болохыг харж болно:
IP (0x0, 58 ttl, id 30675, офсет 0, туг [DF], proto TCP (6), урт 52
Өнгө тодруулсан бол:
- улбар шар - протоколын хувилбар;
- хөх - протоколын амьдрал;
- ногоон - талбайн толгойн урт;
- ягаан - tcp багцын хувилбар;
- улаан - пакетийн хэмжээ.
Мөн тушаалын синтаксын хувьд та энэ сонголтыг бичиж болно -в эсвэл -vvв, энэ нь дэлгэц дээр харуулсан мэдээллийн хэмжээг цаашид нэмэгдүүлэх болно.
-W сонголт болон -r сонголт
Опционы хүснэгт нь гаралтын бүх өгөгдлийг дараа нь үзэх боломжтой болгохын тулд тусдаа файлд хадгалах боломжийг дурдсан байдаг. Энэ сонголт нь үүнийг хариуцах болно. -w. Энэ нь хэрэглэхэд тун амархан, тушаалын дагуу оруулаад өргөтгөлтэй ирээдүйн файлыг оруулна ".pcap". Бүх жишээг авч үзье:
sudo tcpdump -i ppp0 -w file.pcap
Жишээ нь:
Тэмдэглэл: файлын лог файлуудыг бичихдээ "Терминал" дэлгэц дээр текст харуулахгүй.
Та бичлэгийн гаралтыг харахыг хүсэж байгаа бол, энэ сонголтыг ашиглах хэрэгтэй -rөмнө нь бүртгэгдсэн файлыг нэрлэнэ. Үүнийг бусад сонголт болон шүүлтүүргүй хэрэглэвэл:
sudo tcpdump -r file.pcap
Жишээ нь:
Дараагийн шинжилгээнүүдэд их хэмжээний текстийг хадгалах хэрэгтэй тохиолдолд эдгээр хоёр сонголт хоёулаа төгс болно.
IP шүүлт
Шүүлтүүрийн хүснэгтийн дагуу бид үүнийг мэднэ гэх мэт нь консолийн дэлгэц дээр заасан хаяг хүлээн авсан багцуудыг зөвхөн консолийн дэлгэц дээр харуулахыг зөвшөөрдөг. Тиймээс, таны компьютерээс хүлээн авсан пакетуудыг харах нь маш тохиромжтой байдаг. Үүнийг хийхийн тулд баг нь зөвхөн IP хаягаа заах хэрэгтэй.
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Жишээ нь:
Үүнээс гадна, харж болно гэх мэт, баг дотор бид мөн шүүлтүүрийг бүртгэсэн ip. Өөрөөр хэлбэл, бид пакетуудыг сонгохдоо компьютерын IP хаягийг анхаарч, бусад параметрүүд рүү анхаарлаа хандуулах болно.
IP-ээр та пакетуудыг шүүх болон илгээх боломжтой. Жишээ нь бид IP хаягийг дахин өгдөг. Өөрөөр хэлбэл, бид ямар пакетуудыг компьютерээс өөр хаяг руу илгээнэ. Үүнийг хийхийн тулд дараах тушаалыг ажиллуулна:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Жишээ нь:
Та харж байгаагаар, бид шүүлтүүрийг тушаалын синтакс дээр өөрчиллөө. гэх мэт дээр src, ингэснээр илгээгчийг IP замаар хайхыг хэлж өгдөг.
HOST шүүлт
Баг доторх IP-тай адил бид шүүлтүүрийг тодорхойлж болно хостсонирхож буй хосттой пакетуудыг хуулах. Энэ нь илгээгч / хүлээн авагчийн IP хаягийн оронд синтаксын оронд та түүний хостыг заах шаардлагатай болно. Энэ нь иймэрхүү харагдаж байна:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Жишээ нь:
Зураг дээр та үүнийг харж болно "Терминал" Бидний IP хаягаас google.com хост руу илгээсэн пакетууд л харагдана. Та google host-ийн оронд өөр ямар ч оруулга орж чадна гэдгийг харж болно.
IP шүүлтүүрийн хувьд синтакс нь: гэх мэт сольж болно srcТаны компьютерт илгээсэн пакетуудыг харахын тулд:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Тэмдэглэл: хост шүүлтүүр нь dst эсвэл src-ийн дараа байх ёстой бөгөөд хэрэв уг тушаал алдаа үүсгэх ёстой. IP шүүлт хийх тохиолдолд эсрэг болон src нь ip шүүлтүүрийн урд талд байна.
Шүүлтүүр болон эсвэл
Хэрэв та хэд хэдэн шүүлтүүрийг нэгэн зэрэг нэг удаа ашиглах шаардлагатай бол шүүлтүүр хэрэглэх шаардлагатай. болон эсвэл эсвэл (хэргээс шалтгаална). Синтакс дахь шүүлтүүрийг тодорхойлж, эдгээр мэдэгдлүүдээр нь салгаж өгснөөр та "хий" гэж ажиллах болно. Жишээ нь энэ нь иймэрхүү харагдана:
sudo tcpdump -i ppp0 ip d 95.47.144.254 эсвэл ip src 95.47.144.254
Жишээ нь:
Тушаалын синтаксаас бид харуулахыг хүсч байгааг харж болно "Терминал" 95.47.144.254 хаяг руу илгээгдсэн бүх пакетууд ба нэг хаягаар хүлээн авсан пакетууд. Та энэ илэрхийллээр зарим хувьсагчийг өөрчлөх боломжтой. Жишээлбэл, IP-ийн оронд HOST-г зааж өгөх эсвэл хаягийг өөрөө шууд оруулна.
Шүүлтүүр порт болон хөрвүүлэх
Шүүлтүүр порт тусгай порттой пакетуудын тухай мэдээллийг авах хэрэгтэй үед төгс болно. Тиймээс, хэрэв та зөвхөн хариулт эсвэл DNS асуулгуудыг харах шаардлагатай бол порт 53:
sudo tcpdump -vv -i ppp0 port 53
Жишээ нь:
Хэрэв та http багцуудыг үзэхийг хүсвэл, та порт 80:
sudo tcpdump -vv -i ppp0 port 80
Жишээ нь:
Бусад зүйлс дотроос портын хамрах хүрээг нэн даруй хянах боломжтой байдаг. Үүнийг хийхийн тулд шүүлтүүрийг хэрэглэнэ хөрвүүлэх:
sudo tcpdump 50-80
Шүүлтүүртэй хамт харж болно хөрвүүлэх Нэмэлт сонголтыг зааж өгөх шаардлагагүй. Зөвхөн мужийг тохируулна уу.
Протоколыг шүүж байна
Та зөвхөн ямар ч протоколд хамааралтай урсгалыг л харуулж болно. Үүнийг хийхийн тулд энэ протоколын нэрийг шүүлтүүр болгон ашигла. Жишээг авч үзье udp:
sudo tcpdump -vvv -i ppp0 udp
Жишээ нь:
Зураг дээр тушаал бичиж дууссаны дараа "Терминал" зөвхөн протоколуудтай пакетууд харуулагдсан байна udp. Үүнээс шалтгаалан та бусад хүмүүсээр шүүж болно, жишээ нь, arp:
sudo tcpdump -vvv -i ppp0 arp
эсвэл tcp:
sudo tcpdump -vvv -i ppp0 tcp
Шүүлтүүр цэвэр
Оператор цэвэр нь сүлжээнийхээ дагуу пакетуудыг шүүхэд тусалдаг. Үүнийг бусадтай адил хялбархан ашиглах боломжтой - синтаксын шинж чанарыг тодорхойлох хэрэгтэй цэвэр, дараа нь сүлжээний хаяг оруулна. Жишээ нь:
sudo tcpdump -i ppp0 net 192.168.1.1
Жишээ нь:
Багцны хэмжээгээр шүү
Бид хоёр өөр сонирхолтой шүүлтүүрийг авч үзээгүй байна. бага байна болон илүү их. Шүүлтүүр бүхий хүснэгтээр бид илүү олон өгөгдлийн пакетуудыг ажиллуулахыг мэддэг (бага байна) буюу түүнээс бага (илүү их) шинж чанарыг оруулсны дараа заасан хэмжээ.
Бид зөвхөн 50 бит-аас хэтрэхгүй пакетуудыг хянахыг хүсэж байгаа бол дараах тушаалыг өгөх болно гэж бодъё:
sudo tcpdump -i ppp0 бага 50
Жишээ нь:
Одоо харуулъя "Терминал" 50 битийн том пакетууд:
sudo tcpdump -i ppp0 илүү 50
Жишээ нь:
Үүнийг харахад тэдгээр нь адилхан ашиглагддаг бөгөөд зөвхөн ялгаатай нь шүүлтүүрийн нэр юм.
Дүгнэлт
Өгүүллийн төгсгөлд бид баг гэж дүгнэж болно tcpdump - Энэ бол Интернэт дээр дамжуулагдсан өгөгдлийн багцыг та хянах боломжтой агуу хэрэгсэл юм. Гэвч энэ нь зөвхөн зарлигт ороход хангалттай биш юм "Терминал". Зөвхөн хүссэн үр дүнд хүрэхийн тулд бүх төрлийн сонголт, шүүлтүүрийг ашиглана.
