Raha mila analyse na manaparitaka ny poketrany ao Linux ianao, dia tsara ny ampiasainao ny utility console amin'io. tcpdump. Saingy ny olana dia mitranga amin'ny fitantanana sarotra. Ho sahala amin'ny tsy mampaninona ny mpampiasa tsotra hiasa miaraka amin'ny fitaovana, saingy amin'ny voalohany fotsiny no jerena. Ity lahatsoratra ity dia hanazava ny fomba nandaminana ny tcpdump, ny fampiasana azy io, ny fampiasana azy, ary ny ohatra maro momba ny fampiasana azy dia homena.
Jereo koa: Tutorials amin'ny fametrahana fifandraisana Internet ao amin'ny Ubuntu, Debian, Ubuntu Server
fametrahana
Ny ankamaroan'ny mpandraharaha ao amin'ny Linux mifototra amin'ny rafitra dia misy ny utility tcpdump ao amin'ny lisitry ny efa napetaka aloha, fa raha noho ny antony dia tsy ao amin'ny fizaranao ianao dia afaka maka sy mametraka izany amin'ny alàlan'ny "Terminal". Raha mifototra amin'ny Debian ny OS, ary ity dia Ubuntu, Linux Mint, Kali Linux ary ny toy izany, mila mandidy ity baiko ity ianao:
sudo apt mametraka tcpdump
Rehefa manamboatra ianao dia mila miditra tenimiafina. Mariho fa rehefa mandefa izany dia tsy aseho, mba hanamafisana ny fametrahana azy, dia tsy maintsy miditra ny toetra "D" and press Ampidiro.
Raha manana Red Hat, Fedora na CentOS ianao, dia ho toy izao ny baiko fametrahana:
sudo yam mametraka tcpdump
Aorian'ity fametrahana ity dia ampiasaina avy hatrany. Ity sy ny maro hafa dia horesahina ao aoriana ao amin'ny lahatsoratra.
Jereo koa: PHP Installation Guide ho an'ny Serveur Ubuntu
Syntaxe
Tahaka ny baiko hafa, ny tcpdump dia manana ny syntax manokana. Raha fantatrao izy, dia azonao atao ny mametraka ireo fepetra ilaina rehetra izay ho raisina rehefa manatanteraka ilay baiko. Ny soratana dia:
tcpdump safidy -i interface filters
Rehefa mampiasa ny baiko ianao, dia tsy maintsy mamaritra ny interface ahafahana mandeha. Ny filtres sy ny safidy dia tsy fepetra tsy maintsy atao, fa mamela ny famolavolana azy ireo kokoa.
safidy
Na dia tsy ilaina aza ny mamaritra ny safidy, dia mbola ilaina ny lisitra ireo izay misy. Ny latabatra dia tsy mampiseho ny lisitr'izy ireo manontolo, fa ireo izay malaza indrindra ihany, saingy tsy ampy ny hamaha ny ankamaroan'ireo asa.
| safidy | famaritana |
|---|---|
| FITEHIRIZAM-BOKIN'NY Vavolombelon'i | Mamela ny fonosana amin'ny ASCII format |
| -l | Manampy ny horonam-boky iray. |
| -i | Rehefa miditra ianao dia mila mametraka ny interface interface izay hijerena. Raha hanomboka hanaraka ny interface rehetra ianao dia soraty ny teny hoe "misy" aorian'ny safidy. |
| -c | Mamafa ny doka fitiliana aorian'ny fanamarinana ny isa voatondro. |
| -w | Manome rakitra an-tsoratra miaraka amin'ny tatitra fanamarinana. |
| -e | Mampiseho ny haavon'ny fifandraisana aterineto amin'ny pake data. |
| -L | Mampiseho ireo protocoles izay tohanan'ny serasera arovana voafaritra. |
| -c | Manokatra rakitra hafa raha manoratra fonosana raha lehibe kokoa noho ilay voatondro. |
| -r | Manokatra tahiry ho an'ny famakiana izay noforonina miaraka amin'ny safidy -w. |
| -j | Ny format TimeStamp dia ho ampiasaina hanangonana rakitra. |
| -J | Mamela anao hijery ny format malalaka rehetra TimeStamp |
| -G | Nampiasaina hamoronana rakitra miaraka amin'ny logs. Ny safidy ihany koa dia mitaky sanda maivana, aorian'izany dia hisy vaovaom-baovao hamorona |
| -v, -vv, -vvv | Miankina amin'ny isan'ny tarehin-tsoratra ao amin'ny safidy, ny ampahany amin'ny baiko dia hanjary amin'ny antsipirihany (ny fitomboana dia mifanaraka mivantana amin'ny isan'ny tarehintsoratra) |
| -f | Ny vokatra dia mampiseho ny anaran'ny sehatr'ilay adiresy IP |
| -F | Azonao atao ny mamaky fampahalalana tsy avy amin'ny serasera, fa avy amin'ny rakitra voafaritra |
| -D | Asehoy ireo interface misy serasera rehetra azo ampiasaina. |
| -n | Mamafa ny fampisehoana anarana nomena anarana |
| -Z | Ampifanaraho amin'ny mpampiasa azy ny kaonty rehetra hovaina. |
| -K | Skip checksum analysis |
| -q | Fampisehoana fampahalalana fohy |
| -H | Manamarina ny lohahevitra 802.11s |
| -i | Nampiasaina rehefa nisafidy ny fonosana amin'ny fomba mahazatra. |
Rehefa nandinika ireo safidy, ambany dia mivantana amin'ny fampiharana azy ireo. Mandritra izany fotoana izany, dia hodinihina ny sivana.
sivana
Araka ny voalaza etsy am-piandohan'ny lahatsoratra, azonao atao ny manampy ny sivana amin'ny tcpdump. Ankehitriny dia hojerena ny ankamaroan'izy ireo:
| sivana | famaritana |
|---|---|
| miaramila | Manondro ny anaran'ny mpampiantrano. |
| harato | Mametraka ny subnet IP sy ny tambajotra |
| : ip | Manondro ny adiresin'ny protocol |
| src | Mampiseho ireo fonosana nalefa avy amin'ny adiresy voalaza |
| DST | Mampiseho ireo fonosana izay noraisin'ny adiresy voalaza. |
| arp, udp, tcp | Ny sivana amin'ny iray amin'ireo protocoles |
| seranan-tsambo | Mampiseho ny vaovao mifandraika amin'ny seranana manokana. |
| ary, na | Nampiasaina mba hampifandraisana filaharana maromaro amin'ny baiko iray. |
| less, greater | Ny fonosam-pitaovana kely kokoa na lehibe kokoa noho ny habeny voafaritra |
Ireo filtre rehetra voalaza etsy ambony ireo dia azo ampifandraisina amin'ny tsirairay, noho izany rehefa mamoaka didy ianao dia tsy hijery afa-tsy ny fampahafantarana tianao ho hita. Mba hahalalana amin'ny antsipiriany bebe kokoa ny fampiasana ireo filtres etsy ambony ireo, dia tokony hanome ohatra.
Jereo koa: Commands matetika ampiasaina amin'ny Linux Terminal
Ohatra amin'ny fampiasana
Safidy azo ampiasaina matetika ny tcpdump sigara. Tsy azo soratana avokoa izy rehetra, satria ny fiovaovan'izy ireo dia mety ho tsy manam-petra.
Hizaha lisitry ny interface
Ny rindranasa tsirairay dia manara-maso ny lisitry ny interfaces rehetra ao amin'ny tambazotra izay mety ho hita. Avy any ambony latabatra no ahafantarantsika fa noho izany dia mila mampiasa ilay safidy ianao -D, koa araho eto amin'ny seranana ity baiko manaraka ity:
sudo tcpdump -D
ohatra:
Araka ny hitanao, misy valo valo amin'ny ohatra izay azo jerena amin'ny baiko tcpdump. Ny lahatsoratra dia hanome ohatra amin'ny ppp0, afaka mampiasa olon-kafa ianao.
Fitaterana fifamoivoizana
Raha mila manara-maso ny serasera iray ianao, dia azonao atao izany amin'ny safidy -i. Aza adino ny miditra ny anaran'ny mpampiasa aorian'ny fidirana ao. Ity misy ohatra iray amin'ny fanatanterahana baiko toy izao:
sudo tcpdump -i ppp0
Azafady note: mila miditra "sudo" mialoha ny baiko manokana ianao, satria mitaky ny zon'ny ambony superuser.
ohatra:
Fanamarihana: aorian'ny fanindriana ny "Enter" amin'ny "Terminal", dia hipoitra tsy tapaka ireo fonosana tafiditra. Mba hampitsaharana ny dingan-drivotra, dia mila manindry ny famintinana Ctrl + C ianao.
Raha toa ianao ka mihazakazaka ilay baiko tsy misy safidy sy sivana fanampiny, dia ho hitanao ity format manaraka ity raha hijery ny fonosana:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], seq 1: 595, ack 1118, nahazo 6494, safidy [nop, nop, TS val 257060077 ecr 697597623], length 594
Aiza ny loko nasongadina:
- manga - ny fotoana fandraisana ny fonosana;
- orange - protocol version;
- adiresy maitso - ny mpanolotra;
- volomparasy - ny adiresin'ny mpandray;
- gray - fanampiny fanampiny momba ny tcp;
- red - packet size (aseho amin'ny bytes).
Io syntax io dia manana fahafahana hivoaka ao anaty fikandrana "Terminal" tsy mampiasa ny safidy fanampiny.
Fakana fifamoivoizana amin'ny -v safidy
Araka ny fantatra avy amin'ny latabatra, ny safidy -v mamela anao hampitombo ny habetsaky ny fampahalalana. Handinika ohatra iray isika. Jereo ny interface:
sudo tcpdump -v -i ppp0
ohatra:
Eto dia tsikaritrao fa hita ao amin'ny laharana ny andalana manaraka:
IP (tos 0x0, ttl 58, id 30675, offset 0, saina [DF], proto TCP (6), lamà 52
Aiza ny loko nasongadina:
- orange - protocol version;
- manga - ny fiainan'ny protocole;
- maitso - ny halavitry ny header header;
- volomparasy - famoahana ny fonosana tcp;
- red - packet size.
Azonao atao ihany koa ny manoratra ny safidy -vv na -vvv, izay hampitombo bebe kokoa ny habetsaky ny fampahalalana hita eo amin'ny efijery.
Ny safidy -w sy -r
Ny safidy eo amin'ny latabatra dia nanamarika ny mety hisian'ny tahirin-tahirin-tsokajy ho an'ny tahirin-tsokajy tsirairay ahafahana mijery azy any aoriana. Ny safidy dia tompon'andraikitra amin'izany. -w. Tena tsotra ny fampiasana azy, ampidiro ao amin'ny baiko ary alao ny anaran'ny rakitra manaraka miaraka amin'ny fanitarana ".Pcap". Eritrereto ny ohatra rehetra:
sudo tcpdump -i ppp0 -w file.pcap
ohatra:
Azafady note: raha manoratra log ao amin'ny rakitra iray, tsy misy lahatsoratra hita ao amin'ny efijery "Terminal".
Raha te hijery ny vokatra voarakitra ianao dia mila mampiasa ilay safidy -rary arahin'ny anaran'ny rakitra voarakitra teo aloha. Azo ampiasaina izy io raha tsy misy safidy hafa sy sivana hafa:
sudo tcpdump -r file.pcap
ohatra:
Ireo safidy roa ireo dia tonga lafatra amin'ny tranga izay ilainao hamerenana lahatsoratra marobe ho an'ny fanadihadiana manaraka.
IP sivana
Avy amin'ny latabatry ny sivana, fantatsika izany DST dia mamela anao hampiseho ny efitranon'ny solosaina amin'ny solosaina afa-tsy ireo fonosana izay noraisin'ny adiresy voatondro ao amin'ny baiko sentaks. Noho izany, dia tsara ny mijery ireo entana entin'ny ordinateranao. Mba hanaovana izany, ny ekipa dia mila mametraka ny adiresy IP anao:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
ohatra:
Araka ny hitanao, ankoatra izany DST, tao amin'ny ekipa dia nosoratanay koa ny sivana : ip. Raha lazaina amin'ny teny hafa dia nilaza tamin'ny solosaina izahay fa rehefa mifidy fonosana izy dia tokony handinika ny adiresy IP, fa tsy amin'ny hafa.
Amin'ny alàlan'ny IP, afaka manisika sy mandefa fonosana ianao. Amin'ny ohatra dia omentsika ny IP izahay. Izany hoe, hijery izay pakey nalefa avy amin'ny solosaintsika amin'ny adiresy hafa isika. Raha manao izany ianao, dia fenoy ity baiko manaraka ity:
sudo tcpdump -i ppp0 ip src 10.0.6.67
ohatra:
Araka ny hitanareo dia nosolointsika ny sivana tao amin'ny sentence de command. DST amin'ny src, ka ilazany ny milina hitady ny mpandefa avy amin'ny IP.
HOST sivana
Amin'ny alalan'ny fampitoviana amin'ny IP ao amin'ny ekipa dia afaka manondro sivana iray isika miaramilamba hanangona fonosana miaraka amin'ireo olona liana. Izany hoe, amin'ny fehezan-teny, fa tsy ny adiresy IP an'ny mpanolotra / ny mpamaky, dia mila mametraka ny mpampiantrano azy ianao. Toy izao izany:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
ohatra:
Eo amin'ilay sary dia azonao atao izany "Terminal" Ireo fonosana nalefa avy amin'ny IP an'ny mpizara google.com ihany no naseho. Araka ny hitanao, fa tsy mpampiantrano google ianao dia afaka miditra amin'ny hafa.
Toy ny amin'ny fanivanana ny IP, ny famantarana dia: DST afaka hosoloina srcMba hahitana ireo poketra nalefa amin'ny solosainao:
sudo tcpdump -i ppp0 src host google-public-dns-a.google.com
Fanamarihana: ny sivana mpampiantrano dia aorian'ny dst na src, raha tsy izany dia hamoaka hadisoana ilay baiko. Raha ny sivana IP dia mifanohitra amin'izay, ny dst sy src dia eo anoloan'ny sivana ip.
Sivanina ary ary na
Raha mila mampiasa filters maromaro ianao amin'ny alàlan'ny baiko iray dia mila mampihatra sivana ianao. ary na na (miankina amin'ny raharaha). Amin'ny alalan'ny famaritana ny sivana amin'ny fehezan-dalàna sy ny fampisarahana azy ireo amin'ireo mpandraharaha ireo, dia "manaova" azy ireo ho toy ny iray. Amin'ny ohatra ohatra, dia toy izao no mitranga:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 na ip src 95.47.144.254
ohatra:
Avy amin'ny baiko famantarana dia afaka mahita fa te hampiseho "Terminal" Ny entana rehetra nalefa tamin'ny adiresy 95.47.144.254 sy ny entana nomena ny adiresy ihany. Azonao atao ihany koa ny miovaova vitsivitsy amin'ny fomba fiteny. Ohatra, raha tokony ho IP, dia lazao HOST na manolo ny adiresy mivantana.
Port port et portage
sivana seranan-tsambo tonga lafatra raha mila mahazo fanazavana momba ny fonosana misy seranana manokana ianao. Noho izany, raha mila mitady valiny na fangatahana DNS ianao, dia mila milaza port 53:
sudo tcpdump -vv -i ppp0 port 53
ohatra:
Raha te hijery ny fonosana http ianao dia mila miditra port 80:
sudo tcpdump -vv -i ppp0 port 80
ohatra:
Ankoatr'ireo zavatra hafa, dia azo atao ny manara-maso avy hatrany ireo seranan-tsambo. Mba hanaovana izany, ampiharo ny sivana portrange:
sudo tcpdump portrange 50-80
Araka ny hitanao, miaraka amin'ny sivana portrange Tsy ilaina ny manondro safidy fanampiny. Ampifanitsio fotsiny ny laharana.
Protocol Filtering
Azonao atao ihany koa ny mampiseho ny fifamoivoizana mifanaraka amin'ny protocol rehetra. Mba hanaovana izany, ampiasao ny anaran'ity protocol ity ho toy ny sivana. Andeha hojerentsika ohatra UDP:
sudo tcpdump -vvv -i ppp0 udp
ohatra:
Araka ny hitanao eo amin'ny sary, rehefa avy namoaka ilay baiko "Terminal" Ny poketra miaraka amin'ny protocol ihany no naseho UDP. Noho izany, afaka manivana amin'ny hafa ianao, ohatra, Arp:
sudo tcpdump -vvv -i ppp0 arp
na TCP:
sudo tcpdump -vvv -i ppp0 tcp
Adinoy ny net
mpandraharaha harato dia manampy ny fanivanana ireo fonosana mifototra amin'ny fanendrena ny tambajotra. Toy ny mora ampiasaina toy ny sisa - ilainao ny manondro ny toetra ao amin'ny sentaks harato, dia midira ny adiresin'ny tambajotra. Ireto misy baiko toy izao:
sudo tcpdump -i ppp0 net 192.168.1.1
ohatra:
Afindra amin'ny habeny
Tsy nihevitra ireo filaminana roa mahaliana izahay: latsaka ary lehibe kokoa. Avy amin'ny latabatra misy ny filtra, dia fantatsika fa manompo izy ireo mba hamoaka angona betsaka kokoa (latsaka) na kely (lehibe kokoa) ny habeny voatondro aorian'ilay toetra dia miditra.
Aoka hatao hoe tianay ny manara-maso ny fonosana izay tsy mihoatra ny 50 bits, avy eo ilay baiko dia hitovy amin'izany:
sudo tcpdump -i ppp0 less 50
ohatra:
Andeha hojerentsika izao "Terminal" Pakety mihoatra ny 50 bits:
sudo tcpdump -i ppp0 50 mahery
ohatra:
Araka ny hitanao dia ampiasaina mitovy ihany izy ireo, ny fahasamihafana ihany dia amin'ny anaran'ny sivana.
famaranana
Any amin'ny faran'ny lahatsoratra dia azontsika tsoahana fa ny ekipa tcpdump - Ity dia fitaovana lehibe ahafahanao manara-maso ny angona rakitra rehetra nalefa tamin'ny Internet. Fa noho izany dia tsy ampy ny hidirana ao amin'ny baiko "Terminal". Ny hahatratrarana ny vokatra irina dia tsy ho azonao afa-tsy raha mampiasa karazana safidy sy sivana ianao, ary koa ny fiasan'izy ireo.
