Эгер анализ же Linux боюнча тармак топтомдорун бышырууда керек болсо, бул буйрук сап утилитасын колдонуу жакшы tcpdump. Бирок, маселе эмес, анын башкаруу татаал пайда болот. Орточо колдонуучу ыңгайсыз Коммуналдык менен иш деп ойлойм, бирок бул биринчи гана карап турат. Бул макалада сиз аны, ошондой эле аны пайдалануунун көптөгөн мисалдар болот кантип колдонуу болуп саналат, синтаксистик tcpdump куруу, кантип билебиз.
Кара: Ubuntu, Debian, Ubuntu Server интернет байланышты түзүү үчүн колдонмо
орнотуу
Linux көп иштеп жаткан системасы иштеп алдын-ала орнотулган тизмесине tcpdump арналышты кирет, бирок, кандайдыр бир себептерден улам аны бөлүштүрүү жок болсо, анда силер менен дайыма эле жүктөп аркылуу орното алат "Терминал". Сиз OS дебиан негизделген болсо, ал Ubuntu, Linux Mint, Kali Linux жана сыяктуу, бул команданы аткаруу керек:
Sudo ап орнотуу tcpdump
орнотуу боюнча сиздин паролду киргизүүгө керек. ал көрсөтүлгөн эмес, терип жатканда экенин белгилеп, анын белгисин кирүүгө зарылчылыгын ырастай "D" жана пресс-релиздер кирүү.
Эгер Сиз Кызыл шляпа, Fedora же CentOS бар болсо, команда төмөнкү анкетаны коюп:
Sudo Yam tcpdump орнотуу
Пайдалуу орнотулуп буткөндөн кийин, ошол замат колдонсо болот. Ушул жана башка көптөгөн нерселер жөнүндө текстте кененирээк талкууланат.
Кара: Ubuntu Server Орнотуу көрсөтмөлөрү PHP
синтаксиси
башка эч бир команда болуп, tcpdump өз синтаксисин бар. Аны билип туруп, команда боюнча карала турган бардык зарыл болгон параметрлерин сурасак болот. синтаксистик төмөнкүчө чагылдырууга болот:
tcpdump -i параметр чыпкалары Interface
Сиз колдонгон качан сөзсүз көз макамын тактоо керек. Чыпкалар жана параметрлери - бул сөзсүз өзгөрмөлөр эмес, бирок алар бир кыйла ийкемдүү тарам аткарууга мүмкүндүк берет.
параметрлери
тандоо жана сөзсүз эле колдо тизме дагы деле талап бар деп айтылбайт да. көрсөтүлгөн стол алардын бүт тизме менен эмес, бир гана абдан популярдуу, бирок алар иштердин көпчүлүгү чечүү үчүн жетиштүү болуп саналат.
| тандоо | определение |
|---|---|
| -A | Бул ASCII үлгүдөгү пакеттерди сорттоо берет |
| -l | Жылган милдетин кошот |
| -i | киргизгенден кийин Сиз мониторинг турган тармак тактоо керек. Бардык Interfaces көзөмөлдөө баштоо үчүн, сөздөн кийин жолду кирип, "кандайдыр бир" |
| -C | пакеттерди аталган санын текшерүү кийин көз салуу жараянын аяктады |
| -w | сыноо протоколу менен тексттик чыгарат |
| -E | Бул маалымат пакетин интернет байланышын көрсөтөт |
| -L | аталган тармак колдоого гана протоколдор көрсөтөт |
| -C | дагы бир сааты түзөт анын көлөмү алдын ала көбүрөөк болсо, анда пакетин жазылып жатканда |
| -r | Бул -w каалоосу менен жаратылган окуу үчүн билэни, ачат |
| -j | эсепке алуу-пакеттерди үчүн убакыт түзүлүшү колдонулат |
| -J | Ал бардык түрү жерден көрүүгө мүмкүнчүлүк берет |
| -G | журналдарын көрсөтүү менен билэни түзүүгө Click. Бул параметр да жаңы журналы түзүлөт, андан кийин бир жолу маани талап кылынат |
| -v, -vv, -vvv | нмскалары тамгалардын санына жараша, буйрук чыгаруу көбүрөөк (тамгалардын санына түздөн-түз жараша көбөйтүү) болуп калат |
| -f | чыгаруу IP даректерди домендик аталышын көрсөтөт |
| -F | Бул тармак эмес, маалыматты окуп, жана көрсөтүлгөн делосуна чейин берет |
| -D | Ал жөндөмдөр колдонулушу керек, бардык тармак Interfaces көрсөтөт |
| -н | домендик аталыштарды көрсөтүүнү токтотот |
| Jay- | Анын эсеби боюнча Колдонуучунун бардык материалдары орнотууга болот белгилейт |
| -K | Секирип текшерүү талдоо |
| -q | Коргозмо на |
| -H | Ачып 802.11s баш |
| -I | Ал монитор режиминде пакеттерди басып колдонулган |
төмөнкү параметрлерди карап чыккандан кийин, биз алардын арыздарын менен түздөн-түз иш. Ошол эле учурда, чыпкалары каралат.
чыпкалары
Макаланын башында айтылгандай, по tcpdump синтаксисин кошо аласыз. таанымал адамдарды ким каралат:
| чыпка | определение |
|---|---|
| кожоюн | Бул хост көрсөтүү үчүн колдонулат |
| тор | Бир IP беткабы жана тармакты белгилейт |
| Ип | Бул протокол дарегин көрсөтүү үчүн колдонулат |
| СИБ | Бул көрсөтүлгөн дарекке жөнөтүлгөн пакеттерди көрсөтөт |
| тема | Бул көрсөтүлгөн жайгашкан түшкөн пакеттерди чыгарат |
| алабында, UDP, TCP | протоколдордун бири боюнча чыпка |
| порт | белгилүү бир кеме менен байланышкан маалыматтарды көрсөтөт |
| менен, же | Бул топтун ичинде бир нече электерин айкалыштыруу үчүн колдонулган |
| аз, жогору | Output пакет көрсөтүлгөн өлчөмдөн ашык же андан аз |
Жогоруда чыпкалар баары бири-бири менен айкалыштырылышы мүмкүн, ошентип, буйруктарды чыгарууга, сиз гана көрө каалаган маалыматты сактоого болот. Жогоруда чыпкалар пайдаланууга толугу менен түшүнүү үчүн мисал менен камсыз кылышы керек.
Ошондой эле кара: Көп "Терминал" Linux буйруктарын пайдалануу
пайдалануунун мисалдары
tcpdump синтаксис ыкмаларды ким көп колдонулган берилет. алардын айырмачылыктар чексиз болушу мүмкүн, анткени, алардын тизмеси, иштебейт.
Interface тизмесин көрүү
Ар бир колдонуучу башында байкоого болот, анын бардык тармак сызууларды, тизмесин текшерүү сунушталган. Биз бул мүмкүнчүлүктү пайдалануу керек Жогоруда үстөлүнөн түшкөн билем -DОшондуктан терминалынан төмөнкү команданы Нускасы:
Sudo tcpdump -D
мисалы:
Эгер, мисалы, көрүп тургандай, tcpdump аркылуу көрсө болот сегиз көрүнүш бар. Бул макалада мисал менен камсыз кылат ppp0Ошондой эле ар кандай башка пайдалана аласыз.
Нормалдуу жол тартуу
Эгер бир тармак көз келсе, анда ыкмаларды колдонсок болот -i. киргенден кийин, эч унутпа Interface аталыштары көрсөтүлөт. Бул жерде мындай буйрук үлгүсүн ишке ашыруу болуп саналат:
Sudo tcpdump -i ppp0
Эскертүү: бул тамыр мүмкүнчүлүгү талап командасы, "Sudo" кирүү үчүн керек болгон.
мисалы:
Эскертүү: "терминалын" кир басып кийин үзгүлтүксүз басып пакеттерди көрсөтүлөт. алардын агымын токтотуу үчүн, негизги айкалышын Ctrl + C. басуу керек
Эгер кандайдыр бир жолдор менен чыпкалар жок буйругуна чуркап, анда салынган пакеттерди төмөнкү дисплей түзүлүшү көрөт:
22: 18: 52,597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Желектер [P.], п 1: 595, 1118 ACK, 6494 утуп, ыкмаларды [NOP, NOP, TS д 257 060 077 ККМ 697597623], узундугу 594
түс берилген учурда:
- Көк - Эгер сиз пакетти кабыл алуу убактысы;
- апельсин - протокол чыгаруу;
- жашыл - жөнөтүүчүнүн дареги;
- кочкул кызыл - Алуучунун дареги;
- ак - TCP жөнүндө көбүрөөк маалымат алуу;
- кызыл - пакет өлчөмү (байттар менен көрсөтүлөт).
Бул синтаксисин терезесинде көрсөтүүгө мүмкүнчүлүгү бар "Терминал" кошумча мүмкүнчүлүктөрдү пайдалануу жок.
-v тандоосу менен тартып алуу жол кыймылы
столдо белгилүү болгондой, кошумча -v Сиз маалыматтын көлөмүн көбөйтүүгө мүмкүндүк берет. Келгиле, төмөнкү мисалды карап көрөлү. Биз да макамын аныктоо:
Sudo tcpdump -v -i ppp0
мисалы:
Мына ошол өндүрүшүнүн кийинки сызыгын пайда байкаса болот:
IP (тос 0x0, TTL 58, ID 30675, 0, желектерди [DF], прото TCP ордун (6), узундугу 52
түс берилген учурда:
- апельсин - протокол чыгаруу;
- Көк - өмүр протоколунун мөөнөтү;
- жашыл - баш талаанын узундугу;
- кочкул кызыл - TCP пакет чыгаруу;
- кызыл - көлөм топтому.
Ошондой эле буйрук синтаксиси, сиз параметрин катталышы мүмкүн -vv же -vvv, Экранда маалыматтын көлөмүн кайсы дагы өсөт.
Тандоо -w жана -r
параметрлери стол кийин алар кароого болот, ошондуктан өзүнчө делосуна бардык көрсөтүлгөн маалыматтарды сактоо үчүн мүмкүндүгүн айткан. Бул тандоо үчүн жооптуу -w. Колдонуу абдан жөнөкөй, жөн гана команда киргизүүгө, андан кийин узартуу менен келечектеги иштин аталышын терүү ".Pcap". Бардык төмөнкү мисалды карап көрөлү:
Sudo tcpdump -i ppp0 -w file.pcap
мисалы:
Эскертүү: эгерде "терминалын" боюнча делосуна журналы жазууну каалаган текстти көрсөтө бербейт.
Сиз параметрин колдоно керек жазылган көлөмүн көрүү үчүн келгенде, -rмурда жазылган билэ атын жазып, андан кийин. башка эч кандай жолдору жана чыпкалар менен колдонулат:
Sudo tcpdump -r file.pcap
мисалы:
Кийинчерээк талдоо үчүн тексттин ири өлчөмдөгү сактоо үчүн керек болгондо Ушул эки параметрлерди кырдаалдарда идеалдуу болуп саналат.
Интеллектуалдык менчик боюнча чыпкалоо
чыпкасы стол, биз билебиз тема Бул буйрук синтаксиси көрсөтүлгөн дареги түшкөн консолу экранды гана пакеттерди көрсөтүүгө мүмкүнчүлүк берет. Демек, бул сиздин алган топтомдорду көрүү үчүн өтө ыңгайлуу болуп саналат. Бул үчүн, команда сиздин IP-дарегин киргизүү талап кылынат:
Sudo tcpdump -i ppp0 IP тема 10.0.6.67
мисалы:
Көрүнүп тургандай, кошумча темакоманда, биз чыпкалуу катары катталган Ип. Башка сөз менен айтканда, биз пакеттерди тандап алуу үчүн компүтерге айтып, ал эмес, башка жолдору караганда, алардын IP дареги бурду.
жана чыгыш-пакеттерди интеллектуалдык менчик боюнча чыпкаланган болот. Мисалы, биз IP кайтарып берем. Башкача айтканда, биз азыр пакеттерди башка дарек боюнча биздин компүтерден жиберип турган көз. Бул үчүн төмөнкү команданы Нускасы:
Sudo tcpdump -i ppp0 IP СИБ 10.0.6.67
мисалы:
Көрүнүп тургандай, буйрук синтаксистик, биз элеги өзгөрдү тема боюнча СИБОшентип, ал интеллектуалдык менчик үстүнөн жөнөтүүчү издеп жатканын машинени айтып.
HOST боюнча тарады
IP командасы менен окшоштук боюнча, биз элеги көрсөтүүгө болот кожоюнаскер кызыктырган пакеттерди бөлүп үчүн. Башкача айтканда, жөнөтүүчү / алуучунун IP-дарек ордуна синтаксиси анын аскерин көрсөтүү керек болот. Ал төмөнкүчө чагылдырууга болот:
Sudo tcpdump -i ppp0 келген тема же кабыл алуучу google-public-dns-a.google.com
мисалы:
Сүрөттөн дагы Кудай экенин көрө алат "Терминал" кабыл алуучу Google.com биздин ИМ менен жиберилген гана пакеттерди көрсөтөт. абдан ыраазы болот эле, анын ордуна алуучу Google жана сиз башка кире албайт.
Интеллектуалдык менчик, синтаксис боюнча чыпкалоо менен болгондой эле тема менен алмаштырылышы мүмкүн СИБсиздин жөнөтүлөт топтомдорду көрүү үчүн:
Sudo tcpdump -i ppp0 курс өтөт google-public-dns-a.google.com
Эскертүү: чыпкасы алуучу келген тема же ГКЗ кийин, же буйрук ката кайтып келет турушубуз керек. Интеллектуалдык менчик боюнча чыпкалоо учурда, тескерисинче, тема жана СИБ ИМ чыпкасы көргөзүп жатышат.
чыпка колдонуу жана же жана
Эгер сен да ушундай команда боюнча бир нече жолу, чыпкалоодон пайдалануу зарылчылыгы жок болсо, анда чыпка колдонуу керек жана же же (Учурда жараша). чыпкасы синтаксисин көрсөтүп, бул байланыш операторлору тарабынан аларды бөлүп, сиз, "күч менен" аларды бири болуп иштеген. Бул мисал жөнүндө төмөнкүчө чагылдырууга болот:
Sudo tcpdump -i ppp0 IP тема 95.47.144.254 же IP УРА 95.47.144.254
мисалы:
команда синтаксиси From биз көрсөтүү үчүн экени түшүнүктүү "Терминал" Бул ошол эле жерге түшкөн 95.47.144.254 жана пакеттерди дарегине жиберилген бардык пакет. Ошондой эле, бул сөз менен өзгөрүүлөрдүн кээ өзгөртө аласыз. Мисалы, ордуна IP аскер өздөрү түздөн-түз чечүүгө, тактап же алмаштыруу.
Filter порт жана portrange
чыпка порт Ошол учурларда кемчиликсиз, сиз белгилүү бир кеме менен пакеттерди тууралуу маалымат алуу керек болгондо. Ошондуктан, бир гана жооп, же DNS суроолорун көргүсү келсе, портуна 53-көрсөтүү керек:
Sudo tcpdump -vv -i ppp0 порт 53
мисалы:
Эгер HTTP топтомдорду көрүү үчүн алгысы келсе, анда ал портуна 80 кириши керек:
Sudo tcpdump -vv -i ppp0 порт 80
мисалы:
Мындан тышкары, ал дароо портторуна бир катар байкоо мүмкүн. Бул максатта чыпкасы portrange:
Sudo tcpdump portrange 50-80
чыпкалуу менен бирдикте, көрүнүп тургандай portrange кошумча параметрлерди кереги жок. Бир гана көрсөтүү менен керек.
протокол менен чыпкалоо
Ошондой эле ар кандай протокол дал гана жол көрсөтө алабыз. Бул үчүн, протоколдун өзү бир чыпкасы аталыш катары пайдаланууга. Келгиле, үлгүсүн карап көрөлү UDP:
Sudo tcpdump -vvv -i ppp0 UDP
мисалы:
команда кийин, бейнеси боюнча көрүнүп тургандай "Терминал" бир гана протоколдун менен пакеттерди өзгөрүүлөр UDP. Ошондуктан, мисалы, чыпкалоону жана башка ишке ашыра алат, Arp:
Sudo tcpdump -vvv -i ppp0 Arp
же TCP:
Sudo tcpdump -vvv -i ppp0 TCP
чыпкасы таза
оператору тор Бул алардын тармагын белгилөө үчүн негиз катары алып, пакеттерди чыпкалоо үчүн жардам берет. калган эле жонокой, аны колдон - Сен бар атрибуттуу синтаксисин тактоо керек торАндан кийин тармак дареги кирет. Бул жерде мындай буйрук мисал боло алат:
Sudo tcpdump -i ppp0 таза 192.168.1.1
мисалы:
пакет өлчөмү боюнча тарады
Биз кызыктуу эки чыпкасы карап эмес,: азыраак жана көбүрөөк. чыпкалар менен бир дасторкондо тартып, алардын үстүнө чыгуу маалымат пакеттери колдонулат экенин билебиз (азыраак) Же андан азыраак (көбүрөөк) Киргизүү атрибуту кийин белгиленген өлчөмү.
биз 50 бит белгисин ашпоого тийиш гана пакеттерди ылайык келет дейли, анан буйрук төмөнкүдөй болот:
Sudo tcpdump -i ppp0 кеминде 50
мисалы:
Эми көрсөтүлгөн келсин "Терминал" ири 50 бит караганда пакет:
Sudo tcpdump -i ppp0 көбүрөөк 50
мисалы:
Көрүнүп тургандай, алар чыпкасы атынан бир гана айырма колдонулат.
жыйынтыктоо
Макаланын аягында бул команда деп жыйынтык чыгарууга болот tcpdump - Бул сиз интернет аркылуу ар кандай маалымат пакетин көз берет улуу куралы болуп саналат. Бирок, бул максат үчүн өзү команданы терүүгө үчүн жетишсиз "Терминал". Эгер анын, ошондой эле жолдор менен чыпкалар ар кандай айкалыштарын пайдалануу болсо, керектүү жыйынтык учурда гана алынган жетишүү.
