თუ საჭიროა Linux- ის ქსელის პაკეტების გაანალიზება ან ჩარევა, უმჯობესია გამოიყენოთ კონსოლი კომუნალური გამოყენება. tcpdump. მაგრამ პრობლემა საკმაოდ რთულ მენეჯმენტში ხდება. როგორც ჩანს, უმოქმედოა ჩვეულებრივი მომხმარებლისთვის კომუნალური მუშაობისთვის, მაგრამ ეს მხოლოდ ერთი შეხედვით არის. სტატიაში განმარტავს, თუ როგორ ხდება tcpdump ორგანიზება, რა სინტაქსი აქვს, როგორ გამოვიყენოთ ის და მისი გამოყენების მრავალრიცხოვანი მაგალითები.
აგრეთვე იხილეთ: Ubuntu, Debian, Ubuntu Server- ში ინტერნეტი
ინსტალაცია
Linux- ზე დაფუძნებული ოპერაციული სისტემების უმეტესი დეველოპერები მოიცავს tcpdump- ის უპირატესობას წინასწარ დაყენებული პიტების სიაში, მაგრამ თუ რაიმე მიზეზით ეს არ არის განაწილება, შეგიძლიათ ყოველთვის ჩამოტვირთოთ და დააინსტალიროთ "ტერმინალი". თუ თქვენი OS ეფუძნება Debian- ს და ეს არის Ubuntu, Linux Mint, Kali Linux და ასე შემდეგ, თქვენ უნდა აწარმოოთ ეს ბრძანება:
sudo apt დააყენოთ tcpdump
ინსტალაციისას საჭიროა შეიყვანოთ პაროლი. გთხოვთ გაითვალისწინოთ, რომ როდესაც აკრეფილი არ არის ნაჩვენები, ასევე დაადასტურეთ ინსტალაცია, უნდა შეიტანოთ ხასიათი "D" და დააჭირეთ შეიყვანეთ.
თუ თქვენ გაქვთ Red Hat, Fedora ან CentOS, ინსტალაციის ბრძანება ასე გამოიყურება:
sudo yam install tcpdump
კომუნალური დამონტაჟების შემდეგ, დაუყოვნებლივ გამოიყენეთ იგი. ეს და ბევრად უფრო განხილული იქნება მოგვიანებით ტექსტი.
იხილეთ აგრეთვე: PHP- ის მონტაჟი Ubuntu Server- ისთვის
სინტაქსი
ნებისმიერი სხვა ბრძანების მსგავსად, tcpdump- ს გააჩნია საკუთარი სინტაქსი. ის იცის, შეგიძლიათ დააყენოთ ყველა საჭირო პარამეტრი, რომელიც გათვალისწინებული იქნება ბრძანების შესრულებისას. სინტაქსი არის:
tcpdump პარამეტრები -i ინტერფეისი ფილტრები
ბრძანების გამოყენებისას უნდა მიუთითოთ ინტერფეისი. ფილტრები და პარამეტრები არ არის სავალდებულო ცვლადები, მაგრამ ისინი უფრო მოქნილი კონფიგურაციის საშუალებას იძლევა.
პარამეტრები
მიუხედავად იმისა, რომ არ არის აუცილებელი პარამეტრის მიუთითოთ, ჯერ კიდევ აუცილებელია ხელმისაწვდომი ფაილების სია. მაგიდა არ აჩვენებს მათ მთელ სიას, მაგრამ მხოლოდ ყველაზე პოპულარული პირობაა, მაგრამ საკმარისზე მეტია საკმარისი ამოცანების გადაჭრა.
| ვარიანტი | განმარტება |
|---|---|
| -A | საშუალებას გაძლევთ დაალაგოთ პაკეტები ASCII ფორმატში |
| -l | დასძენს გრაგნილი ფუნქცია. |
| -i | შესვლის შემდეგ თქვენ უნდა მიუთითოთ ქსელის ინტერფეისი, რომელიც მონიტორინგი იქნება. იმისათვის, რომ დაიწყოს ყველა ინტერფეისი, აკრიფოთ სიტყვა "ნებისმიერი" შემდეგ ვარიანტი. |
| -c | აკმაყოფილებს ტრეკინგის პროცესს პაკეტების გარკვეული რაოდენობის შემოწმების შემდეგ. |
| -w | ქმნის ტექსტურ ფაილს გადამოწმების ანგარიშთან. |
| -ე | აჩვენებს ინტერნეტ კავშირი მონაცემთა პაკეტს. |
| -L | აჩვენებს მხოლოდ იმ ოქმებს, რომლებიც მხარდაჭერილია მითითებული ქსელის ინტერფეისით. |
| -C | პაკეტის წერისას კიდევ ერთი ფაილი ქმნის, თუ მისი ზომა უფრო დიდია, ვიდრე მითითებულია. |
| -რ | ხსნის ფაილი წაკითხვისთვის, რომელიც შეიქმნა -w პარამეტრით. |
| -j | პაკეტის ჩაწერისთვის გამოყენებული იქნება TimeStamp ფორმატი. |
| -J | გაძლევთ საშუალებას იხილოთ ყველა არსებული ფორმატის TimeStamp |
| -G | გამოყენებულია ფაილის შექმნის ჟურნალი. ვარიანტი ასევე მოითხოვს დროებითი ღირებულებას, რის შემდეგაც შეიქმნება ახალი ჟურნალი |
| -v, -vv, -vvv | სიმბოლოების რაოდენობის მიხედვით, ბრძანების გამომუშავება უფრო დეტალურად გახდება (ზრდა პირდაპირი სიმბოლოების რაოდენობის პროპორციულია) |
| -f | გამომავალი გამოჩნდება დომენის სახელი IP მისამართი |
| -F | საშუალებას გაძლევთ წაიკითხოთ ინფორმაცია არა ქსელის ინტერფეისიდან, არამედ მითითებულ ფაილში |
| -D | აჩვენებს ყველა ქსელური ინტერფეისი, რომელიც შეიძლება გამოყენებულ იქნას. |
| -ნ | Deactivates დომენის სახელები |
| -Z | განსაზღვრავს მომხმარებელს, რომლის ანგარიშზე ყველა ფაილი შეიქმნება. |
| -კ | ჩეკის ანალიზის გამოტოვება |
| -გ | ხანმოკლე ინფორმაციის დემონსტრირება |
| -H | გამოავლენს 802.11s სათაურებს |
| -I | გამოყენებულია მონიტორის რეჟიმში პაკეტების აღებისას. |
პარამეტრების შესწავლის შემდეგ, მათ პირდაპირ მივუერთდით პროგრამებს. იმავდროულად, ფილტრები განიხილება.
ფილტრები
როგორც სტატიის დასაწყისშია ნახსენები, შეგიძლიათ დაამატოთ ფილტრები tcpdump სინტაქსისთვის. ახლა მათგან ყველაზე პოპულარული გახდება:
| ფილტრი | განმარტება |
|---|---|
| მასპინძელი | განსაზღვრავს მასპინძელი სახელი. |
| წმინდა | განსაზღვრავს IP ქვე-ქსელს და ქსელს |
| ip | განსაზღვრავს ოქმი მისამართი |
| src | მონიტორები პაკეტები, რომლებიც გამოგზავნილი მითითებულ მისამართზე |
| dst | აჩვენებს პაკეტებს, რომლებიც მითითებულია მითითებულ მისამართზე. |
| arp, udp, tcp | ფილტრაცია ერთი პროტოკოლით |
| პორტი | ასახავს კონკრეტულ პორტთან დაკავშირებულ ინფორმაციას. |
| და, ან | გამოყენებულია მრავალი ფილტრის კომბინირებული ბრძანება. |
| ნაკლებად, უფრო დიდი | გამომავალი პაკეტები უფრო მცირე ან უფრო მაღალია, ვიდრე მითითებული ზომა |
ყველა ზემოხსენებული ფილტრი შეიძლება ერთმანეთთან იყოს შერწყმული, ასე რომ ბრძანების გაცემისას მხოლოდ დააკვირდებით ინფორმაციას, რომლის ნახვაც გსურთ. უფრო დეტალურად გასაგები ზემოთ ფილტრების გამოყენება, ღირს მაგალითები.
აგრეთვე იხილე: ხშირად გამოყენებული ბრძანებები Linux Terminal- ში
გამოყენების მაგალითები
ხშირად გამოიყენება tcpdump სინტაქსის პარამეტრები. ყველა მათგანი არ შეიძლება იყოს ჩამოთვლილი, რადგან მათი ვარიაციები უსასრულოა.
ინტერფეისის სიის ნახვა
რეკომენდირებულია, რომ თითოეული მომხმარებელი თავდაპირველად შეამოწმოს ყველა მისი ქსელის ინტერფეისების სია, რომელიც შეიძლება traced. ცხრილიდან ზემოთ ვიცით, რომ ამისათვის საჭიროა ვარიანტი -D, ამიტომ ტერმინალში აწარმოებს შემდეგ ბრძანებას:
sudo tcpdump -D
მაგალითი:
როგორც ხედავთ, რვა ინტერფეისი არსებობს იმ მაგალითში, რომელიც შეიძლება ჩაითვალოს tcpdump ბრძანების გამოყენებით. სტატიაში მოცემულია მაგალითები ppp0, შეგიძლიათ გამოიყენოთ ნებისმიერი სხვა.
ჩვეულებრივი ტრაფიკის გადაღება
თუ თქვენ უნდა აკონტროლოთ ერთი ქსელის ინტერფეისი, შეგიძლიათ გააკეთოთ ეს ვარიანტი -i. ნუ დაგავიწყდებათ, რომ შეიყვანოთ ინტერფეისის სახელი შესვლის შემდეგ. აი, ასეთი ბრძანების შესრულების მაგალითია:
sudo tcpdump -i ppp0
გთხოვთ, გაითვალისწინოთ: "სოდოს" შეყვანა ბრძანებამდე, რადგან ის მოითხოვს სუპეროსის უფლებას.
მაგალითი:
შენიშვნა: დააჭირეთ ღილაკს "ტერმინალში", ჩაირთვება პაკეტები მუდმივად. მათი ნაკადის შესაჩერებლად, თქვენ უნდა დააჭიროთ ღილაკს Ctrl + C.
დამატებითი ბრძანებისა და ფილტრების გარეშე ბრძანება გაუშვით, დაათვალიერებთ Tracked Packets- ს შემდეგი ფორმატი:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: დროშები [P.], seq 1: 595, ack 1118, win 6494, ვარიანტი [nop, nop, TS val 257060077 ecr 697597623], სიგრძე 594
სადაც ფერადი ხაზგასმულია:
- ლურჯი - პაკეტის მიღების დრო;
- ფორთოხლის - პროტოკოლის ვერსია;
- მწვანე გამგზავნის მისამართი;
- მეწამული - მიმღების მისამართი;
- რუხი - დამატებითი ინფორმაცია TCP- ის შესახებ;
- წითელი პაკეტი ზომა (ნაჩვენებია ბაიტებში).
ამ სინტაქსს ფანჯრის ფანჯარა აქვს "ტერმინალი" დამატებითი პარამეტრების გამოყენების გარეშე.
გადაათრიეთ ტრაფიკი - -v ვარიანტი
როგორც ცნობილია მაგიდა, ვარიანტი -v საშუალებას გაძლევთ გაზარდოთ ინფორმაციის მოცულობა. მოდი განვიხილოთ მაგალითი. შეამოწმეთ იგივე ინტერფეისი:
sudo tcpdump -v -i ppp0
მაგალითი:
აქვე შეგიძლიათ ნახოთ, რომ გამომავალში გამოჩნდა შემდეგი ხაზი:
IP (tos 0x0, ttl 58, id 30675, ოფსეტური 0, დროშები [DF], პროტო TCP (6), სიგრძე 52
სადაც ფერადი ხაზგასმულია:
- ფორთოხლის - პროტოკოლის ვერსია;
- ლურჯი - პროტოკოლის სიცოცხლე;
- მწვანე - საველე ჰედერის სიგრძე;
- თიფის პაკეტის მეწამული ვერსია;
- წითელი - პაკეტის ზომა.
ასევე ბრძანება სინტაქსში შეგიძლიათ დაწეროთ ვარიანტი -Vv ან -Vvv, რაც კიდევ უფრო გაზრდის ეკრანზე ნაჩვენები ინფორმაციის რაოდენობას.
-W და -r ვარიანტი
ვარიანტების ცხრილში აღინიშნა ყველა გამომავალი მონაცემის ცალკე ფაილში შენახვის შესაძლებლობა, რათა მათ მოგვიანებით ნახონ. ამისათვის პასუხისმგებელია ვარიანტი. -w. საკმაოდ მარტივია გამოყენება, უბრალოდ შეიყვანეთ იგი ბრძანებაში და შემდეგ შეიტანეთ მომავალი ფაილის სახელი გაფართოებით ".pcap". განვიხილოთ ყველა მაგალითი:
sudo tcpdump -i ppp0 -w file.pcap
მაგალითი:
გთხოვთ გაითვალისწინოთ: ფაილზე წერისას წერილობით, ტექსტის ჩვენება არ არის "ტერმინალი" ეკრანზე.
როდესაც ჩანაწერის ჩანაწერის ნახვა გსურთ, საჭიროა გამოიყენოთ ვარიანტი -რმოყვება ადრე ჩაწერილი ფაილის სახელი. იგი გამოიყენება სხვა ვარიანტებისა და ფილტრების გარეშე:
sudo tcpdump -r file.pcap
მაგალითი:
ორივე ვარიანტი იდეალურია იმ შემთხვევებში, როდესაც საჭიროა შემდგომი ანალიზისთვის დიდი რაოდენობით ტექსტის შენახვა.
IP ფილტრაცია
ფილტრის ცხრილიდან, ჩვენ ვიცით dst გაძლევთ საშუალებას გამოაჩინოთ კონსოლის ეკრანზე მხოლოდ იმ პაკეტები, რომლებიც მითითებულია ბრძანებათა სინტაქსის მითითებით. ამდენად, ძალიან მოსახერხებელია თქვენი კომპიუტერიდან მიღებული პაკეტების სანახავად. ამისათვის გუნდი უბრალოდ უნდა მიუთითოთ თქვენი IP მისამართი:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
მაგალითი:
როგორც ხედავთ, გარდა dst, გუნდში, ასევე გავაფორმეთ ფილტრი ip. სხვა სიტყვებით რომ ვთქვათ, კომპიუტერთან ვუთხარი, რომ პაკეტების შერჩევისას ის ყურადღებას გაამახვილებდა IP მისამართს და არა სხვა პარამეტრებს.
IP- ს მეშვეობით, შეგიძლიათ შეავსოთ და გააგზავნოთ პაკეტი. მაგალითში ჩვენ ვაძლევთ ჩვენს IP- ს. ანუ ჩვენ ახლა მივაღწევთ, თუ რომელი პაკეტები იგზავნება კომპიუტერიდან სხვა მისამართებზე. ამისათვის აწარმოეთ შემდეგი ბრძანება:
sudo tcpdump -i ppp0 ip src 10.0.6.67
მაგალითი:
როგორც ხედავთ, ჩვენ შევცვალეთ ფილტრი ბრძანების სინტაქსში. dst on src, რომლის მიხედვითაც მანქანას ეგზავნება გამგზავნი IP- ს მიერ.
HOST ფილტრაცია
გუნდში IP- თან ანალოგიით, ჩვენ შეგვიძლია მიუთითოთ ფილტრი მასპინძელიგაეცანით პაკეტებს ინტერესთა მასპინძლობით. ანუ, სინტაქსში, გამომგზავნის / მიმღების IP მისამართის ნაცვლად, თქვენ უნდა მიუთითოთ მისი მასპინძელი. ასე გამოიყურება:
sudo tcpdump -i ppp0 dst მასპინძელი google-public-dns-a.google.com
მაგალითი:
სურათზე თქვენ ხედავთ, რომ "ტერმინალი" მხოლოდ იმ პაკეტები, რომლებიც ჩვენი IP- ისგან გამოგზავნილ იქნა google.com host- ში. როგორც ხედავთ, Google მასპინძლის ნაცვლად შეგიძლიათ სხვა ნებისმიერ მისამართზე.
როგორც IP ფილტრაციით, სინტაქსია: dst შეიძლება შეიცვალოს srcთქვენი კომპიუტერისთვის გაგზავნილი პაკეტების სანახავად:
sudo tcpdump -i ppp0 src მასპინძელი google-public-dns-a.google.com
შენიშვნა: მასპინძელი ფილტრი უნდა იყოს dst ან src- ის შემდეგ, წინააღმდეგ შემთხვევაში შეცდომა გამოიმუშავებს შეცდომას. IP ფილტრაციის შემთხვევაში, პირიქით, dst და src are ip ფილტრის წინ.
ფილტრი და ან
თუ თქვენ უნდა გამოიყენოთ რამდენიმე ფილტრი ერთდროულად, მაშინ უნდა გამოვიყენოთ ფილტრი. და ან ან (დამოკიდებულია საქმეზე). სინტაქსის ფილტრების დაზუსტებისა და ამ განცხადებებით გამოყოფისას, თქვენ "გააკეთეთ" მუშაობა, როგორც ერთი. მაგალითად, ასე გამოიყურება:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 ან ip src 95.47.144.254
მაგალითი:
ბრძანების სინტაქსიდან შეგიძლიათ ნახოთ, რომ ჩვენ გვინდა ჩვენების ჩვენება "ტერმინალი" ყველა პაკეტი, რომელიც გაიგზავნა მისამართზე 95.47.144.254 და პაკეტების მიერ მიღებული იგივე მისამართი. თქვენ შეგიძლიათ შეცვალოთ ზოგიერთი ცვლადი ამ გამოხატულებაში. მაგალითად, IP- ის ნაცვლად, დააკონკრეტეთ HOST ან უშუალოდ შეცვალეთ მისამართები.
ფილტრაციის პორტი და პორტრეტი
ფილტრი პორტი სრულყოფილი, როდესაც თქვენ უნდა მიიღოთ ინფორმაცია პაკეტების კონკრეტული პორტი. ასე რომ, თუ თქვენ მხოლოდ უნდა ნახოთ პასუხები ან DNS queries, თქვენ უნდა მიუთითოთ პორტი 53:
sudo tcpdump -vv -i ppp0 პორტი 53
მაგალითი:
თუ გსურთ http პაკეტების სანახავად, თქვენ უნდა შეიყვანოთ პორტი 80:
sudo tcpdump -vv -i ppp0 port 80
მაგალითი:
სხვა საკითხებთან ერთად, შესაძლებელია პორტების მყისიერად გაკონტროლება. ამისათვის გამოიყენეთ ფილტრი პორტრეტი:
sudo tcpdump portrange 50-80
როგორც ხედავთ, ერთად ფილტრი პორტრეტი არ არის საჭირო დამატებითი პარამეტრების დაზუსტება. უბრალოდ დააყენეთ დიაპაზონი.
ოქმი ფილტრაცია
ასევე შეგიძლიათ აჩვენოთ მხოლოდ ტრაფიკი, რომელიც შეესაბამება ნებისმიერ პროტოკოლს. ამისათვის გამოიყენეთ ამ ოქმის სახელი, როგორც ფილტრი. მოდით შევხედოთ მაგალითს udp:
sudo tcpdump -vvv -i ppp0 udp
მაგალითი:
როგორც ხედავთ გამოსახულებას, ბრძანების შესრულების შემდეგ "ტერმინალი" ნაჩვენები იყო მხოლოდ პაკეტები პროტოკოლით udp. აქედან გამომდინარე, თქვენ შეგიძლიათ ფილტრი სხვების მიერ, მაგალითად, arp:
sudo tcpdump -vvv -i ppp0 arp
ან tcp:
sudo tcpdump -vvv -i ppp0 tcp
ფილტრი ქსელი
ოპერატორი წმინდა ეხმარება ფილტრი out პაკეტების საფუძველზე დანიშნულება მათი ქსელი. ეს არის მარტივი როგორც დანარჩენი - თქვენ უნდა მიუთითოთ ატრიბუტი სინტაქსი წმინდა, შემდეგ შეიყვანეთ ქსელის მისამართი. აი, ასეთი ბრძანების მაგალითია:
sudo tcpdump -i ppp0 net 192.168.1.1
მაგალითი:
გაფილტვრა პაკეტის ზომა
ორი საინტერესო ფილტრის ჩვენთვის არ განვიხილავთ: ნაკლებად და უფრო დიდი. მაგიდის ფილტრებიდან, ჩვენ ვიცით, რომ ისინი ემსახურებიან მეტი მონაცემების პაკეტებსნაკლებად) ან ნაკლები (უფრო დიდი) ატრიბუტის შემდეგ მითითებულ ზომა შედის.
დავუშვათ, რომ ჩვენ მხოლოდ გვინდა ვიყოთ პაკეტების მონიტორინგი, რომლებიც არ აღემატება 50 ბიტს, შემდეგ კი ბრძანება ასე გამოიყურება:
sudo tcpdump -i ppp0 ნაკლები 50
მაგალითი:
ახლა მოდით გამოვსახოთ "ტერმინალი" პაკეტები აღემატება 50 ბიტს:
sudo tcpdump -i ppp0 უფრო დიდი 50
მაგალითი:
როგორც ხედავთ, ისინი თანაბრად იყენებენ, ერთადერთი განსხვავებაა ფილტრის სახით.
დასკვნა
სტატიის ბოლოს შეგვიძლია დავასკვნათ, რომ გუნდი tcpdump - ეს არის დიდი ინსტრუმენტი, რომლის საშუალებითაც შეგიძლიათ ინტერნეტის საშუალებით გადმოტვირთოთ ნებისმიერი მონაცემთა პაკეტი. მაგრამ ეს არ არის საკმარისი მხოლოდ შესვლის ბრძანება შევიდა "ტერმინალი". სასურველი შედეგის მისაღწევად მიიღება მხოლოდ იმ შემთხვევაში, თუ თქვენ იყენებთ ყველა სახის ვარიანტს და ფილტრებს, ასევე მათ კომბინაციებს.
