אויב איר דאַרפֿן צו אַנאַלייז אָדער ינערסעפּט נעץ פּאַקיץ אין לינוקס, עס איז בעסטער צו נוצן אַ קאַנסאָול נוצן tcpdump. אָבער די פּראָבלעם ערייזאַז אין זיין גאַנץ קאָמפּליצירט אַדמיניסטראַציע. די דורכשניטלעך באַניצער וועט ויסקומען אַז ארבעטן מיט די נוצן איז ומבאַקוועם, אָבער דאָס איז בלויז אין ערשטער בליק. דער אַרטיקל וועט דערקלערן ווי טקפּדומפּ אַרבעט, וואָס סינטאַקס עס האט, ווי צו נוצן עס און פילע ביישפילן פון עס נוצן.
זען אויך: גוידעס פֿאַר באַשטעטיקן אַן אינטערנעט פֿאַרבינדונג אין Ubuntu, Debian, Ubuntu Server
ינסטאַללאַטיאָן
רובֿ דעוועלאָפּערס פון לינוקס-באזירט אָפּערייטינג סיסטעמען אַנטהאַלטן די tcpdump נוצן אין דער רשימה פון פּרעינסטאַללעד אָנעס, אָבער אויב פֿאַר עטלעכע סיבה עס איז נישט אין דיין פאַרשפּרייטונג, איר קענען שטענדיק אראפקאפיע און ינסטאַלירן עס דורך "טערמינאל". אויב דיין אַס איז באזירט אויף דעביאַן, און די Ubuntu, Linux Mint, Kali Linux און די ווי, איר דאַרפֿן צו לויפן דעם באַפֿעל:
סודאָ פיייק ינסטאַלירן טקפּדומפּ
ווען איר ינסטאַלירן, איר דאַרפֿן צו אַרייַן אַ פּאַראָל. ביטע טאָן אַז ווען די דיילינג, עס איז נישט געוויזן, אויך צו באַשטעטיקן די באַשטעטיקן איר דאַרפֿן צו אַרייַן די כאַראַקטער ד און גיט אַרייַן.
אויב איר האָט רעד האַט, פעדאָראַ אָדער סענטאָס, די ינסטאַלירונג באַפֿעל וועט קוקן ווי דאָס:
סודאָ יאַם ינסטאַלירן טקפּדומפּ
נאָך די ינסטאַלירונג פון די נוצן, עס קענען זיין געוויינט גלייך. דאָס און פיל מער וועט זיין דיסקאַסט שפּעטער אין די טעקסט.
זען אויך: PHP ינסטאַללאַטיאָן גייד אויף Ubuntu Server
סינטאַקס
ווי קיין אנדערע באַפֿעל, טקפּדומפּ האט זייַן אייגן סינטאַקס. איר קענט אים, איר קענען שטעלן אַלע די נייטיק פּאַראַמעטערס וואָס וועט זיין גענומען אין חשבון ווען דורכפירן דעם באַפֿעל. די סינטאַקס איז ווי גייט:
tcpdump אָפּציעס-איך צובינד פילטערס
ווען איר נוצן די באַפֿעל, איר מוזן ספּעציפיצירן די צובינד פֿאַר טראַקינג. פילטערס און אָפּציעס זענען אַפּשאַנאַל וועריאַבאַלז, אָבער זיי לאָזן מער פלעקסאַבאַל קוסטאָמיזאַטיאָן.
אָפּציעס
כאָטש עס איז ניט נייטיק צו אָנווייַזן אַן אָפּציע, איר דאַרפֿן צו רשימה די פאַראַנען אָנעס. דער טיש קען נישט ווייַזן זייער גאַנץ רשימה, אָבער בלויז די מערסט פאָלקס אָנעס, אָבער זיי זענען מער ווי גענוג צו סאָלווע רובֿ טאַסקס.
| אָפּציע | דעפיניציע |
|---|---|
| -A | אַלאַוז איר צו סאָרט פּאַקידזשיז מיט ASCII פֿאָרמאַט |
| -l | מוסיף אַ מעגילע פונקציע. |
| -י | נאָך אַרייַן, איר דאַרפֿן צו ספּעציפיצירן די נעץ צובינד וואָס וועט זיין מאָניטאָרעד. צו אָנהייבן מאָניטאָרינג אַלע ינטערפייסיז, אַרייַן די וואָרט "קיין" נאָך די אָפּציע |
| -c | ענדס די טראַקינג פּראָצעס נאָך קאָנטראָלירונג די ספּעסאַפייד נומער פון פּאַקיץ |
| -w | דזשענערייץ אַ טעקסט טעקע מיט אַ וועראַפאַקיישאַן באַריכט |
| -e | שאָוז דאַטן קשר אינטערנעץ פֿאַרבינדונג מדרגה |
| -ל | דיספּלייז בלויז די פּראָטאָקאָלס וואָס די ספּעסאַפייד נעץ צובינד שטיצט. |
| -C | קרעאַטעס אן אנדער טעקע בעשאַס פּעקל רעקאָרדינג אויב די גרייס איז גרעסערע ווי די ספּעסיפיעד |
| -r | אָפּענס אַ לייענען טעקע וואָס איז געווען באשאפן מיט די אָפּציע -w |
| -j | טימעסטאַמפּ פֿאָרמאַט וועט זיין געוויינט צו רעקאָרדירן פּאַקיץ |
| -דזש | אַלאַוז איר צו זען אַלע פאַראַנען TimeStamp פֿאָרמאַטירונגען |
| -G | סערוועס צו שאַפֿן אַ קלאָץ טעקע. די אָפּציע אויך ריקווייערז אַ צייַטווייַליק ווערט, נאָך וואָס אַ נייַ קלאָץ וועט זיין באשאפן |
| -v, -vv, -vvv | דעפּענדינג אויף די נומער פון אותיות אין די אָפּציע, די רעזולטאַט פון די באַפֿעל וועט ווערן מער דיטיילד (די פאַרגרעסערן איז גלייַך פּראַפּאָרשאַנאַל צו די נומער פון אותיות) |
| -פ | דער רעזולטאַט ווייַזן די פעלד נאָמען פון IP אַדרעסעס |
| -F | אַלאַוז צו לייענען אינפֿאָרמאַציע נישט פֿון די נעץ צובינד, אָבער פֿון די ספּעסאַפייד טעקע |
| -ד | באַווייַזן אַלע די נעץ ינטערפייסיז וואָס קענען זיין געוויינט. |
| -נ | דיאַקטיוואַטעס די אַרויסווייַזן פון פעלד נעמען |
| -Z | ספּעסאַפייז דער באַניצער אונטער וועמענס חשבון אַלע טעקעס זענען באשאפן. |
| -K | סקיפּינג טשעקקסום אַנאַליסיס |
| -ק | וויטרינע סאַמערי |
| -H | דיטעקץ כעדערז פון 802.11 |
| -י | געוויינט ווען קאַפּטשערינג פּאַקיץ אין מאָניטאָר מאָדע |
נאָך יגזאַמאַנד די אָפּציעס, אַ ביסל נידעריקער מיר וועלן גיין גלייַך צו זייער אַפּלאַקיישאַנז. אין די דערווייל, פילטערס וועט זיין קאַנסידערד.
פילטערס
ווי געזאָגט אין דער אָנהייב פון דעם אַרטיקל, איר קענען לייגן פילטערס צו די tcpdump סינטאַקס. איצט די מערסט פאָלקס פון זיי וועט זיין קאַנסידערד:
| פילטער | דעפיניציע |
|---|---|
| באַלעבאָס | ספּעציפיצירט דער באַלעבאָס נאָמען |
| נעץ | ינדיקייץ יפּ סובנעץ און נעטוואָרקס |
| ip | ספּעציפיצירט די פּראָטאָקאָל אַדרעס |
| src | דיספּלייז פּאַקיץ וואָס זענען געשיקט פֿון די ספּעסאַפייד אַדרעס |
| dst | דיספּלייז פּאַקיץ וואָס זענען באקומען דורך די ספּעסאַפייד אַדרעס |
| arp, udp, tcp | פילטערינג דורך איינער פון די פּראָטאָקאָלס |
| port | דיספּלייז אינפֿאָרמאַציע שייך צו אַ ספּעציפיש פּאָרט |
| און, אָדער | קאַמביינז עטלעכע פילטערס אין אַ באַפֿעל. |
| ווייניקער גרעסער | רעזולטאַט פּאַקיץ קלענערער אָדער גרעסער ווי די ספּעסאַפייד גרייס |
אַלע די פילטערס אויבן קענען זיין קאַמביינד מיט יעדער אנדערע, אַזוי אין די אַרויסגעבן פון די באַפֿעל איר וועט בלויז זען די אינפֿאָרמאַציע וואָס איר ווילט. כּדי צו פֿאַרשטיין אין מער דעטאַל די נוצן פון די פילטערס אויבן, עס איז ווערט צו געבן ביישפילן.
זען אויך: אָפט קאַמאַנדז אין לינוקס טערמינאַל
באַניץ ביישפילן
אָפט געניצט סינטאַקס אָפּציעס פֿאַר די tcpdump באַפֿעל וועט איצט זיין געוויזן. אַלע פון זיי קענען ניט זיין ליסטעד, ווייַל עס קענען זיין אַ ינפאַנאַט נומער פון זייער ווערייישאַנז.
View אַ רשימה פון ינטערפייסיז
עס איז רעקאַמענדיד אַז יעדער באַניצער טכילעס קאָנטראָלירן די רשימה פון אַלע זיין נעץ ינטערפייסיז וואָס קענען זיין טראַקט. פֿון די אויבן טיש מיר וויסן אַז פֿאַר דעם איר דאַרפֿן צו נוצן די אָפּציע -דאין דעם וואָקזאַל, לויפן די פאלגענדע באַפֿעל:
sudo tcpdump -D
א ביישפיל:
ווי איר קענען זען, דער בייַשפּיל האט אַכט ינטערפייסיז וואָס קענען זיין וויוד דורך די tcpdump באַפֿעל. דער אַרטיקל וועט צושטעלן ביישפילן ppp0איר קענען נוצן קיין אנדערע.
נאָרמאַל פאַרקער כאַפּן
אויב איר דאַרפֿן צו שפּור איין נעץ צובינד, איר קענען טאָן דאָס מיט די אָפּציע -י. דו זאלסט נישט פאַרגעסן צו אַרייַן די נאָמען פון די צובינד נאָך ענטערינג עס. דאָ איז אַ ביישפּיל פון אַזאַ אַ באַפֿעל:
sudo tcpdump -i ppp0
ביטע טאָן: איידער די באַפֿעל איר דאַרפֿן צו אַרייַן "sudo", ווייַל עס דאַרף סופּערוסער רעכט.
א ביישפיל:
באַמערקונג: נאָך דרינגלעך אַרייַן די "טערמינאַל", ינטערסעפּטאַד פּאַקיץ קאַנטיניואַסלי זענען געוויזן. צו האַלטן זייער לויפן, איר דאַרפֿן צו דריקן די שליסל קאָמבינאַציע Ctrl + C.
אויב איר דורכפירן דעם באַפֿעל אָן נאָך אָפּציעס און פילטערס, איר וועט זען די פאלגענדע פֿאָרמאַט פֿאַר ווייַזנדיק מאָניטאָרעד פּאַקיץ:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: Flags [P.], סעק 1: 595, ack 1118, win 6494, אָפּציעס [nop, nop, TS val 257060077 ecr 697597623], לענג 594
וווּ די קאָליר איז כיילייטיד:
- בלוי - די צייט פון קאַבאָלע פון די פּאַקאַט;
- מאַראַנץ - פּראָטאָקאָל ווערסיע;
- גרין - סענדער אַדרעס;
- פיאַלקע - די אַדרעס פון די באַקומער;
- גרוי - נאָך אינפֿאָרמאַציע וועגן טקפּ;
- רויט - פּאַקאַט גרייס (געוויזן אין ביטעס).
די סינטאַקס קענען זיין געוויזן אין אַ פֿענצטער. "טערמינאל" אָן ניצן נאָך אָפּציעס.
פאַרקער כאַפּן מיט די -v אָפּציע
ווי באַוווסט פון די טיש, די אָפּציע -v אַלאַוז איר צו פאַרגרעסערן די סומע פון אינפֿאָרמאַציע. זאל ס נעמען אַ בייַשפּיל. קאָנטראָלירן די זעלבע צובינד:
sudo tcpdump -v -i ppp0
א ביישפיל:
דאָ איר קענען זען אַז די פאלגענדע שורה איז ארויס אין דער רעזולטאַט:
IP (tos 0x0, ttl 58, id 30675, offset 0, flags [DF], proto TCP (6), לענג 52
וווּ די קאָליר איז כיילייטיד:
- מאַראַנץ - פּראָטאָקאָל ווערסיע;
- בלוי - לעבן פון פּראָטאָקאָל;
- גרין - די לענג פון די פעלד כעדער;
- לילאַ - טקפּ פּעקל ווערסיע;
- רויט - פּאַקאַט גרייס.
אויך אין די באַפֿעל סינטאַקס איר קענען שרייַבן אַן אָפּציע -vv אָדער -וווווווואָס ינקריסאַז די סומע פון אינפֿאָרמאַציע געוויזן אויף דעם עקראַן.
אָפּציע -וו און -ר
אין די אָפּציעס טאַבלע דערמאנט די פיייקייט צו ראַטעווען אַלע פּראָדוקציע אין אַ באַזונדער טעקע אַזוי אַז איר קענען זען עס שפּעטער. דער אָפּציע איז פאַראַנטוואָרטלעך פֿאַר דעם. -w. עס איז גאַנץ פּשוט, נאָר ספּעציפיצירן עס אין די באַפֿעל און אַרייַן די נאָמען פון די צוקונפֿט טעקע מיט די פאַרלענגערונג ".pcap". זאל ס קוק בייַ אַ בייַשפּיל:
sudo tcpdump -i ppp0 -w file.pcap
א ביישפיל:
ביטע טאָן: בשעת שרייבן לאָגס צו אַ טעקע, קיין טעקסט איז געוויזן אויף די "טערמינאַל" פאַרשטעלן.
ווען איר ווילן צו זען די רעקאָרדעד רעזולטאַט, איר מוזן נוצן די אָפּציע -r, נאָך וואָס שרייַבן די נאָמען פון די ביז אַהער רעקאָרדעד טעקע. עס איז געניצט אָן אנדערע אָפּציעס און פילטערס:
sudo tcpdump -r file.pcap
א ביישפיל:
ביידע אָפּציעס זענען גרויס אין קאַסעס וואָס איר דאַרפֿן צו ראַטעווען גרויס אַמאַונץ פון טעקסט פֿאַר שפּעטער פּאַרסינג.
IP Filtering
מיר וויסן אַז פון די פילטער טיש dst אַלאַוז איר צו ווייַזן אויף די קאַנסאָול פאַרשטעלן בלויז די פּאַקיץ וואָס זענען באקומען דורך די אַדרעס וואָס איז ספּעסיפיעד אין די באַפֿעל סינטאַקס. אַזוי, עס איז זייער באַקוועם צו זען די פּאַקיץ באקומען דורך דיין קאָמפּיוטער. צו טאָן דאָס, די מאַנשאַפֿט דאַרף בלויז זיין IP אַדרעס:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
א ביישפיל:
ווי איר קענען זען, אויסערדעם dst, מיר אויך רעגיסטרירט אַ פילטער אין די מאַנשאַפֿט ip. מיט אנדערע ווערטער, מיר האָבן געזאָגט דעם קאָמפּיוטער אַז ווען זיי סעלעקטירן פּאַקיץ, עס וואָלט זיין ופמערקזאַמקייט צו זייער IP אַדרעס און נישט צו אנדערע פּאַראַמעטערס.
דורך IP, איר קענען אויך פילטער אַוטגאָוינג פּאַקיץ. מיר וועלן געבן אונדזער IP ווידער אין דעם בייַשפּיל. דאָס איז, איצט מיר וועלן שפּור וואָס פּאַקיץ זענען געשיקט פֿון אונדזער קאָמפּיוטער צו אנדערע אַדרעס. צו טאָן דאָס, לויפן די פאלגענדע באַפֿעל:
sudo tcpdump -i ppp0 ip src 10.0.6.67
א ביישפיל:
ווי איר קענען זען, אין די באַפֿעל סינטאַקס מיר פארענדערט די פילטער dst אויף srcדערמיט צו זאָגן די מאַשין צו קוקן פֿאַר אַ אָפּשיקער דורך IP.
HOST Filtering
דורך אַנאַלאַדזשי מיט IP אין די באַפֿעל, מיר קענען ספּעציפיצירן אַ פילטער באַלעבאָסצו פילטער פּאַקיץ מיט די באַלעבאָס פון אינטערעס. וואָס איז, אין די סינטאַקס, אַנשטאָט פון די IP אַדרעס פון די סענדער / ופנעמער, איר דאַרפֿן צו ספּעציפיצירן זיין באַלעבאָס. עס קוקט ווי דאָס:
sudo tcpdump -i ppp0 dst באַלעבאָס Google-ublic-dns-a.google.com
א ביישפיל:
אין די בילד איר קענען זען אַז אין "טערמינאל" בלויז די פּאַקיץ וואָס זענען געשיקט פֿון אונדזער IP צו google.com באַלעבאָס זענען געוויזן. ווי איר קענען פֿאַרשטיין, אַנשטאָט פון Google באַלעבאָס, איר קענט אַרייַן קיין אנדערע.
ווי מיט IP פֿילטרירונג, די סינטאַקס dst קענען זיין ריפּלייסט דורך srcצו זען די פּאַקידזשיז וואָס זענען געשיקט צו דיין קאָמפּיוטער:
sudo tcpdump -i ppp0 src באַלעבאָס google-public-dns-a.google.com
באַמערקונג: דער באַלעבאָס פילטער מוזן זיין נאָך dst אָדער src, אַנדערש די באַפֿעל וועט וואַרפן אַ טעות. אין פאַל פון פילטערינג דורך IP, פאַרקערט, דיסט און סרק זענען אין פראָנט פון די ip פילטער.
אַפּלייינג די און און אָדער פילטער
אויב איר דאַרפֿן צו נוצן עטלעכע פילטערס אין איין באַפֿעל אין אַמאָל, איר דאַרפֿן צו צולייגן אַ פילטער און אָדער אָדער (דעפּענדס אויף דער פאַל). דורך ספּעסיפיינג פילטערס אין די סינטאַקס און סעפּערייטינג זיי מיט די אָפּערייטערז, איר וועט מאַכן זיי אַרבעטן ווי איין. צום ביישפּיל, עס קוקט אַזוי:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 אָדער ip src 95.47.144.254
א ביישפיל:
די באַפֿעל סינטאַקס ווייַזן וואָס מיר וועלן צו אַרויסווייַזן "טערמינאל" אַלע פּאַקיץ וואָס זענען געשיקט צו אַדרעס 95.47.144.254 און פּאַקיץ באקומען דורך די זעלבע אַדרעס. איר קענט אויך טוישן עטלעכע וועריאַבאַלז אין דעם אויסדרוק. צום ביישפּיל, אָנשטאָט IP, ספּעציפיצירן HOST אָדער פאַרבייטן די אַדרעסעס גלייך.
פּאָרט און פּאָרטראַנגע פילטער
פילטער port שליימעסדיק אין קאַסעס ווו איר דאַרפֿן צו באַקומען אינפֿאָרמאַציע וועגן פּאַקאַדזשאַז מיט אַ ספּעציפיש פּאָרט. אויב איר נאָר דאַרפֿן צו זען ענטפֿערס אָדער דנס פֿראגן, איר דאַרפֿן צו ספּעציפיצירן פּאָרט 53:
sudo tcpdump -vv -i ppp0 פּאָרט 53
א ביישפיל:
אויב איר ווילט צו זען http-פּאַקיץ, איר דאַרפֿן צו אַרייַן פּאָרט 80:
sudo tcpdump -vv -i ppp0 פּאָרט 80
א ביישפיל:
צווישן אנדערע זאכן, עס איז מעגלעך צו שפּור די פּאָרץ קייט מיד. דער פילטער איז געווענדט פֿאַר דעם. portrange:
סודאָ טקפּדומפּ פּאָרטראַנגע 50-80
אין שייכות מיט די פילטער portrange אַפּשאַנאַל אָפּציעס זענען פארלאנגט. נאָר שטעלן די קייט.
פּראָטאָקאָל פֿילטרירונג
איר קענען אויך אַרויסווייַזן בלויז פאַרקער וואָס שטימען צו קיין פּראָטאָקאָל. צו טאָן דאָס, נוצן דעם נאָמען פון דעם פּראָטאָקאָל ווי אַ פילטער. זאל ס קוק בייַ אַ בייַשפּיל udp:
sudo tcpdump -vvv -i ppp0 udp
א ביישפיל:
ווי איר קענען זען אין די בילד, נאָך דורכפירונג די באַפֿעל אין "טערמינאל" בלויז פּאַקיץ מיט דעם פּראָטאָקאָל זענען געוויזן udp. אַקקאָרדינגלי איר קענען פילטער דורך אנדערע, למשל, arp:
sudo tcpdump -vvv -i ppp0 arp
אָדער tcp:
sudo tcpdump -vvv -i ppp0 tcp
נעץ פילטער
אָפּעראַטאָר נעץ העלפּס פילטער פּאַקיץ באזירט אויף זייער נעץ באַצייכענונג. די נוצן פון עס איז ווי פּשוט ווי די מנוחה - איר דאַרפֿן צו ספּעציפיצירן אַ אַטריביוט אין די סינטאַקס נעץאַרייַן די נעץ אַדרעס. דאָ איז אַ ביישפּיל פון אַזאַ אַ באַפֿעל:
sudo tcpdump -i ppp0 נעץ 192.168.1.1
א ביישפיל:
פֿילטרירונג פון פּאַקאַט גרייס
מיר האָבן נישט באַטראַכט צוויי מער טשיקאַווע פילטערס: ווייניקער און גרעסער. פֿון די טיש מיט פילטערס, מיר וויסן אַז זיי דינען צו רעזולטאַט דאַטן פּאַקיץ מער (ווייניקער) אָדער ווייניקער (גרעסער) די גרייס ספּעסיפיעד נאָך אַרייַן די אַטריביוט.
רעכן מיר ווילן צו מאָניטאָר בלויז פּאַקיץ וואָס זענען נישט מער ווי די 50-ביסל צייכן, דער באַפֿעל וועט קוק ווי דאָס:
sudo tcpdump -i ppp0 ווייניקער 50
א ביישפיל:
איצט לאָזן אונדז אַרויסווייַזן "טערמינאל" פּאַקיץ גרעסער ווי 50 ביץ:
sudo tcpdump -i ppp0 גרעסער 50
א ביישפיל:
ווי איר קענען זען, זיי זענען געווענדט אויף די זעלבע וועג, דער בלויז חילוק איז אין די נאָמען פון די פילטער.
מסקנא
אין די סוף פון די אַרטיקל, מיר קענען פאַרענדיקן אַז די מאַנשאַפֿט tcpdump - דאָס איז אַ ויסגעצייכנט געצייַג מיט וואָס איר קענען שפּור קיין דאַטן פּאַקאַט טראַנסמיטטעד איבער דער אינטערנעץ. אָבער פֿאַר דעם עס איז נישט גענוג נאָר אַרייַן די באַפֿעל זיך "טערמינאל". דער געוואלט רעזולטאַט וועט זיין באקומען בלויז אויב איר נוצן אַלע מינים פון אָפּציעס און פילטערס, ווי געזונט ווי זייער קאַמבאַניישאַנז.
