Haddii aad u baahato inaad falanqeyn ama isku xirto xirmooyinka shabakadda ee Linux, waxa fiican inaad isticmaasho adeegga konsole ee tan. tcpdump. Laakiin dhibaatadu waxay ka timaaddaa maaraynta ay adag tahay. Waxay u muuqan doontaa mid aan habooneyn oo ah isticmaale caadi ah oo la shaqeynaya korantada, laakiin tani waa kaliya marka ugu horeysa ee la eego. Maqaalkani wuxuu sharxi doonaa sida tcpdump loo abaabulay, macnaha ereyga uu leeyahay, sida loo isticmaalo, iyo tusaalooyin badan oo ka mid ah isticmaalka la siin doono.
Eeg sidoo kale: Tababarka loogu talagalay aasaasida Internetka ee Ubuntu, Debian, Ubuntu Server
Ku rakibida
Inta badan horumarinta nidaamyada hawlgalka Linux waxaa ka mid ah tcpdump utility-ka liiska kuwa horay loo-xiray, laakiin haddii sababo aanad ku jirin qaybintaada, waxaad had iyo jeer soo dejin kartaa oo ku rakibi kartaa adoo "Terminal". Haddii OS-gaagu ku saleysanyahay Debian, waana kan Ubuntu, Linux Mint, Kali Linux iyo wixii la mid ah, waxaad u baahan tahay inaad raacdo amarkan:
sudo apt rakibo tcpdump
Markaad ku rakibayso waxaad u baahan tahay inaad gashid erey sir ah. Fadlan ogow in marka la qoro aan la soo bandhigin, sidoo kale si loo xaqiijiyo rakibidda, waa inaad gasho dabeecadda "D" oo riix Gali.
Haddii aad leedahay Red Hat, Fedora ama CentOS, taliyaha dejinta ayaa sidan oo kale u eegi doona:
sudo yam rakibo tcpdump
Ka dib marka la rakibo qalabka korontada, waxaad isla markiiba u isticmaali kartaa. Tani iyo wax badan oo kale ayaa lagaga hadli doonaa mar dambe qoraalka.
Eeg sidoo kale: Hagaha Ku-rakibidda PHP ee Ubuntu Server
Ereyga
Sida wax kale oo amar ah, tcpdump wuxuu leeyahay qormo gaar ah. Ogaanshaha isaga, waxaad samayn kartaa dhammaan xuduudaha lagama maarmaanka ah ee la tixgelin doono marka la fulinayo amarka. Ereyga waa:
Tcpdump options -i interface filimka
Markaad isticmaasho amarka, waa inaad sheegtaa interface si aad ula socoto. Filters iyo ikhtiyaarradu maaha doorsoomayaal qasab ah, laakiin waxay u oggolaadaan qaabeynta jajab badan.
Fursadaha
Inkasta oo aan lagama maarmaan ahayn in la sheego ikhtiyaarka, weli waa lagama maarmaan in la qoro kuwa la heli karo. Jadwalku ma tusaan liistadooda oo dhan, laakiin kaliya kuwa ugu caansan, laakiin waxay ka badan yihiin ku filan si loo xalliyo hawlaha ugu badan.
| Doorasho | Qeexitaan |
|---|---|
| -A | Wuxuu kuu ogolaanayaa inaad kala soocdo baakadaha ASCII-ga |
| -l | Wuxuu ku darayaa hawl-galka barafka. |
| -i | Ka dib markaad soo gasho waxaad u baahan tahay inaad sheegto interface shabakada oo la kormeerayo. Si aad u bilowdo raadinta dhammaan isku-xirmooyinka, ku qor erayga "wax kasta" kadib ikhtiyaar. |
| -c | Dhamaystiraa nidaamka raadraaca kadib marka la hubiyo tirada xirmooyinka baakooyinka. |
| -w | Waxay abuurtaa faylka qoraalka leh warbixinta xaqiijinta. |
| -e | Waxay muujisaa heerka isku xirka internetka ee xirmada macluumaadka. |
| -L | Waxay muujineysaa oo keliya hababka lagu taageerayo interface-ka shabakada ee la soo bandhigay. |
| -C | Waxay abuurtaa fayl kale markaad qorayso xirmo haddii cabbirkiisu ka weyn yahay kan la tilmaamay. |
| -r | Wuxuu furaa faylka akhriska ee la abuuray doorbidka -w. |
| -j | TimeStamp format ayaa loo isticmaali doonaa xirmooyinka duubista. |
| -J | Wuxuu kuu ogolaanayaa inaad aragto dhammaan qaababka la heli karo TimeStamp |
| -G | Waxaa loo adeegsadaa in la abuuro faylal la galo. Doorashadu waxay sidoo kale u baahan tahay qiimo ku meel gaar ah, ka dib marka la abuuro log cusub |
| -v, -vv, -vvv | Iyada oo ku xiran tirada jilayaasha ikhtiyaariga ah, soo saaridda amarka ayaa noqon doona faahfaahin dheeraad ah (kororka si toos ah ayaa u dhiganta tirada jilayaasha) |
| -f | Natiijadu waxay muujinaysaa magaca domain ee cinwaanka IP |
| -F | Wuxuu kuu ogolaanayaa inaad akhrido akhbaarta aan ka ahayn shabakada shabakada, laakiin laga bilaabo faylka la cayimay |
| -D | Muujinaya dhammaan shabakadaha shabakada ee la isticmaali karo. |
| -n | Jooji bandhigga magacyada domain |
| -Z | Waxa caddaynaya cidda isticmaalaysa xisaabteeda oo dhan. |
| -K | Ka gudub falanqaynta qiyaasaha |
| -q | Muujinta macluumaadka kooban |
| -H | Wuxuu ogaadaa madaxa 802.11s |
| -I | Waxaa la isticmaalaa marka la qabsado baakidhka qaabka kormeerka. |
Markaan eegno kala doorashooyinka, waxaan hoos ku xusan si toos ah codsigooda. Dhanka kale, santuuqa ayaa la tixgelin doonaa.
Filters
Sida lagu xusay bilowga hore ee maqaalkan, waxaad ku dari kartaa filtarrada tcpdump syntax. Hadda dadka ugu caansan ayaa loo tixgelin doonaa:
| Falanqe | Qeexitaan |
|---|---|
| martiqaad | Waxay cayimaysaa magaca martida. |
| net | Waxay tilmaamaysaa shabakadda IP-ga iyo shabakadda |
| ip | Waxay cayimaysaa cinwaanka qadarka |
| src | Bandhiga baakidhada la soo direy cinwaanka lagu tilmaamay |
| dst | Bandhiga baakooyinka la helay cinwaanka lagu tilmaamay. |
| arp, udp, tcp | Falanqeynta mid ka mid ah qawaaniinta |
| dekedda | Bandhigaan macluumaadka la xiriira deked gaar ah. |
| iyo, ama | Waxaa loo isticmaalaa in lagu daro shaandhooyin kala duwan oo amar ah. |
| ka yar, ka weyn | Baakadaha ka soo baxa ee ka weyn ama ka weyn cabbirka cayiman |
Dhamaan shaashadaha kor ku xusan ayaa la isugu dari karaa midba midka kale, sidaas darteed soo saarista amarka waxaad fiirin doontaa oo keliya macluumaadka aad rabto inaad aragto. Si aad u fahamto faahfaahin dheeraad ah isticmaalka sifooyinka kor ku xusan, waxaa habboon in la siiyo tusaalooyin.
Eeg sidoo kale: Amarro badan oo loo isticmaalo Terminal Linux
Tusaalooyinka isticmaalka
Doorashooyinka tcpdump ee sida joogtada ah loo isticmaalo ayaa hadda lagu qori doonaa. Dhammaantood lama qori karo, maadaama ay kala duwanaanshuhu noqon karaan kuwo aan dhamaad lahayn.
Muuji liistada interface
Waxaa lagula talinayaa in qof kasta oo hore uu hubiyo liiska dhamaan isku-xirkiisa shabakada oo la raadin karo. Laga soo bilaabo miiska kor ku xusan waxaan ognahay in tan waxaad u baahan tahay inaad isticmaasho ikhtiyaarka -D, sidaas darteed terminal ayaa maamula taliska soo socda:
sudo tcpdump -D
Tusaale:
Sida aad arki karto, waxaa jira siddeed meelood oo tusaaleyaal ah oo lagu arki karo iyada oo la adeegsanayo taliska tcpdump. Maqaalku wuxuu bixinayaa tusaalayaal ppp0, waxaad isticmaali kartaa wax kale.
Qabashada gawaarida caadiga ah
Haddii aad ubaahan tahay inaad la socotid shabakad isku xiran oo keliya, waxaad ku sameyn kartaa arrintan -i. Ha ilaawin inaad gashid magaca moobiilka ka dib markaad gasho. Halkan waxaa ah tusaale tusaale ah oo fulinaya amarka:
sudo tcpdump -i ppp0
Fadlan xusuusnow: waxaad u baahan tahay inaad gasho "sudo" ka hor amarka laftiisa, maadaama ay u baahan tahay xuquuqda superuser.
Tusaale:
Fiiro gaar ah: Ka dib markaad riixdo Ku qor "Terminal", baakadaha xiran ayaa si joogto ah loo soo bandhigi doonaa. Si aad u joojiso socodkooda, waxaad u baahan tahay inaad cadaadiso isugujinta muhiimka ah Ctrl + C
Haddii aad maamusho amarka iyada oo aan la helin fursado dheeraad ah iyo shaandhooyin, waxaad arki doontaa qaabka soo socda si aad u soo bandhigto baakadaha la raadineyey:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Calankooda [P.], seq 1: 595, waa 1118, ku guuleysan 6494, doorashooyin [nop, nop, TS val 257060077 ecr 697597623], dherer 594
Meeshii midabku ka muuqdo:
- buluug - waqtiga helitaanka xirmada;
- orange - qaabka nidaamka;
- cinwaanka cadaymaha;
- guduud - cinwaanka qofka qaada;
- gray - macluumaad dheeraad ah oo ku saabsan tcp;
- casaan - baakad baakadeyn ah (oo lagu soo bandhigo bytes).
Eraygani wuxuu awood u leeyahay inuu soo saaro daaqada "Terminal" iyada oo aan la isticmaalin doorashooyin dheeraad ah.
Gaadiidka taraafikada leh -v doorasho
Sida ka muuqata miiska, ikhtiyaarka -v waxay kuu oggolaaneysaa inaad kordhiso xaddiga macluumaadka. Aan aragno tusaale. Calaamadee isla xiriirka:
sudo tcpdump -v -i ppp0
Tusaale:
Halkan waxaad ka arki kartaa in khadka soo socda uu u muuqday soo saaraha:
IP (Waayeelka 0x0, ttl 58, id 30675, offset 0, calamada [DF], proto TCP (6), dherer 52
Meeshii midabku ka muuqdo:
- orange - qaabka nidaamka;
- buluug - nolosha hab-raaca;
- cagaar - dhererka madaxa ee goobta;
- casaan - version of pack tcp;
- guduudka - cabirka baakadka.
Sidoo kale qoraalka amarka waxaad ku qori kartaa ikhtiyaarka -vv ama -vvv, taas oo kordhin doonta tirada macluumaadka ku qoran shaashadda.
Xulashada -w iyo -r
Miisaanka fursadaha ayaa sheegay in suurtogalnimada in la keydiyo dhamaan xogta wax soo saarka ee feyl gooni ah si markaa dib loo eego. Doorashadan ayaa mas'uul ka ah tan. -w. Waa arrin fudud in la isticmaalo, oo kaliya geliso amarka kadibna geli magaca faylka mustaqbalka leh kordhinta ".pcap". Tixgeli tusaalaha oo idil:
sudo tcpdump -i ppp0 -w file.pcap
Tusaale:
Fadlan ogsoonow: adoo qoraya faylasha faylka, ma jiraan qoraal qoraal ah "screen Terminal".
Markaad rabto inaad aragto soo-saarka la duubay, waxaad u baahan tahay inaad isticmaasho ikhtiyaarka -roo ay ku xigto magaca faylka hore ee la duubay. Waxaa lagu dabaqaa iyada oo aan jirin xulashooyin kale iyo santuuqyo:
sudo tcpdump -r file.pcap
Tusaale:
Labada xulashadoodu way kufiican yihiin kiisaska aad u baahan tahay si aad u keydiso qaddar badan oo qoraal ah falanqaynta xiga.
Shaandhaynta IP-ga
Laga soo bilaabo miiska shaandhada, waxaan ognahay in dst waxay kuu oggolaaneysaa inaad ku muujiso shaashadda furaha kaliya ee baakidhada kuwaas oo ay ku heleen cinwaanka lagu sheegay ereyga qormada. Sidaa darteed, way ku habboon tahay in la eego xirmooyinka ay heshay kombuyuutarkaaga. Si tan loo sameeyo, kooxdu waxay u baahan tahay inay sheegto cinwaankaaga IP:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
Tusaale:
Sida aad arki karto, marka laga reebo dst, kooxda, waxaan sidoo kale diiwaan galinnay shaandhada ip. Si kale hadii loo dhigo, waxaan u sheegnay kombiyuutarka in marka xulashada baqshadaha, uu u fiirsan lahaa cinwaanka IP-ga, oo aan u lahayn xuduudaha kale.
By IP, waxaad xaddidi kartaa oo diri kartaa baakadaha. Tusaale ahaan waxaan siinaa IP-ga mar labaad. Taasi waa, hadda waxaan la socon doonnaa baakidhada laga soo diro kombiyuutarkeena cinwaanada kale. Si arrintan loo sameeyo, u maamul taliska soo socda:
sudo tcpdump -i ppp0 ip src 10.0.6.67
Tusaale:
Sida aad u arki karto, waxaan bedelay fiilka ku jira erayga amariga. dst on src, markaa u sheeg mishiinka si aad u raadisid u diraha IP-ga.
Shaandhaynta HOST
Marka la eego IP-ga kooxda, waxaan sheegi karnaa filter martiqaadsi ay u daadiyaan baakadaha la socota kooxda xiisaha leh. Taasi waa, ee cinwaanka, halkii cinwaanka IP-ga ee u diraha / qaataha, waxaad u baahan doontaa inaad qeexdo martigeeda. Waxay u egtahay sidan:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
Tusaale:
Sawirka waxaad ku arki kartaa in "Terminal" Kaliya baqshadahan oo laga soo diray IP-yada martigeliyeyaasha google.com ayaa la soo bandhigay. Sida aad u aragto, meeshii aad ka heli laheyd google, waxaad gali kartaa wax kale.
Sida IP filtering, macnaha ereyga waa: dst waxaa lagu bedeli karaa srcSi aad u aragto xirmooyinka loo soo diro kombuyuutarkaaga:
sudo tcpdump -i ppp0 src marti google-public-dns-a.google.com
Fiiro: shaandhada martida waa inay ahaato dst ama src, haddii kale amarka ayaa keenaya qalad. Marka la eego fiilooyinka IP-ka, liddi ku ah, dst iyo src waxay ku yaallaan fiilada IP.
Sifee iyo ama ama
Haddii aad ubaahan tahay inaad isticmaasho shaandho dhowr ah hal mar amar amar, markaa waxaad u baahan tahay inaad isticmaasho shaandhada. iyo ama ama (waxay kuxirantahay kiiska). Adoo caddaynaya fiilooyinka ku jira qoraalka iyo kala soocida qoraalladan, waxaad "samayn" shaqeyneysaa mid ahaan. Tusaale ahaan, waxay u egtahay sidaan:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 ama ip src 95.47.144.254
Tusaale:
Laga soo bilaabo qormada qormada waxaad arki kartaa in aan rabno inaan muujino "Terminal" dhammaan baakooyinka la soo direy cinwaanka 95.47.144.254 iyo baakooyinka ay heleen isla cinwaanka. Waxaad sidoo kale bedeli kartaa doorsoomayaal ku jira ereyadan. Tusaale ahaan, halkii IP, u sheeg HOST ama si toos ah u beddel cinwaanada.
Dukumiinka dekedda iyo xarriijinta
Falanqe dekedda markaad u baahato inaad hesho macluumaad ku saabsan baakadaha leh deked gaar ah. Sidaas darteed, haddii aad u baahan tahay oo kaliya inaad aragto jawaabaha ama DNS weydiimaha, waxaad u baahan tahay inaad sheegto dekadda 53:
sudo tcpdump -vv -i ppp0 dekada 53
Tusaale:
Haddii aad rabto inaad aragto baakadaha http, waxaad u baahan tahay inaad gasho dekadda 80:
sudo tcpdump -vv -i ppp0 dekadda 80
Tusaale:
Waxyaabaha kale, waxaa suurtagal ah in si dhakhso ah loola socdo kala duwanaanta dekadaha. Si aad tan u sameyso, isticmaal sheyga xarriijinta:
sudo tcpdump portrange 50-80
Sida aad arki karto, iyada oo la socoto shaandhada xarriijinta Muhiim maaha inaad sheegto doorashooyin dheeraad ah. Kaliya dejiya qiyaasta.
Farsamada Siyaasadeed
Waxa kale oo aad soo bandhigi kartaa oo keliya taraafiga u dhigma qaynuunka. Si arrintan loo sameeyo, u adeegso magaca nidaamkaan sida filter. Aan eegno tusaale Udp:
sudo tcpdump -vvv -i ppp0 udp
Tusaale:
Sida aad uga arki karto sawirka, ka dib markii la fuliyo amarka "Terminal" keliya xirmo qandaraasle ah ayaa la soo bandhigay Udp. Sidaa awgeed, waxaad sharixi kartaa dadka kale, tusaale ahaan, arp:
sudo tcpdump -vvv -i ppp0 arp
ama tcp:
sudo tcpdump -vvv -i ppp0 tcp
Sifee shabaq
Hawlwadeennada net waxay gacan ka geysataa in la xareeyo baakooyinka ku saleysan tilmaamida shabakaddooda. Way fududahay in la isticmaalo sida inta kale - waxaad ubaahan tahay inaad sheegto sifaha ku yaala ereyga net, ka dibna gali cinwaanka shabakadda. Halkan waa tusaale tusaale ah oo amar ah:
sudo tcpdump -i ppp0 net 192.168.1.1
Tusaale:
Fiiri cabbirka baqshadda
Ma aanan tixgelin labo santuuq oo xiiso leh: ka yar iyo weyn. Laga soo bilaabo miiska leh shaandhada, waxaan ognahay inay u adeegaan si ay u soo saaraan xog dheeraad ah (ka yar) ama ka yar (weyn) xajmiga lagu cayimay ka dib markii la gashay sifo.
Fadlan waxaan dooneynaa inaanu kormeero baakooyinka aan ka badneyn 50 bits, ka dibna amarka ayaa sidan u ekaan doona:
sudo tcpdump -i ppp0 ka yar 50
Tusaale:
Hadda aan soo bandhigno "Terminal" baakooyinka ka weyn 50 bits:
sudo tcpdump -i ppp0 ka weyn 50
Tusaale:
Sida aad u arki karto, waxaa loo isticmaalaa si isku mid ah, farqiga keliya ayaa ku jira magaca filterka.
Gabagabo
Dhamaadka qodobka waxaan soo gabagabeyn karnaa kooxda tcpdump - Tani waa qalab weyn oo aad la socon karto wixii macluumaad ah ee la isku gudbiyey ee Internetka. Laakiin tani maaha mid ku filan oo kaliya inuu galo amarkiisa "Terminal". Si loo gaaro natiijada la rabo waxaa la heli karaa oo kaliya haddii aad isticmaasho noocyada kala duwan ee kala doorasho iyo shaandhooyin, iyo waliba isku dhafooda.
