Водич за услужни програм за анализу мрежног промета ТЦПДУМП

Тцпдумп је услужни програм за командну линију који њуши мрежни пакет. Најчешће се користи за решавање проблема мрежа и тестирање сигурносних проблема. Упркос одсуству графичког корисничког интерфејса, то је најпопуларнији, најмоћнији и најсвестранији услужни програм за командну линију.

Изворни је за Линук такав да га већина Линук дистрибуција инсталира као део стандардног ОС-а. Тцпдумп је програм повезан са либпцап-ом, који је библиотека за хватање мрежних датаграма.

Овај чланак ће демистификовати тцпдумп показујући како хватати, читати и анализирати заробљени мрежни саобраћај у овом услужном програму. Касније ћемо користити наше разумевање за преглед пакета података помоћу напредних ТЦП филтера за заставице.

Инсталација Тцпдумп

Подразумевана инсталација Тцпдумп-а у вашој дистрибуцији зависи од опција изабраних током процеса инсталације. У случају прилагођене инсталације, могуће је да пакет није доступан. Инсталацију тцпдумп можете проверити помоћу дпкг команда са „-с" опција.

убунту $ убунту: ~ $ дпкг -с тцпдумп

Или користите команду „судо апт-гет инсталл тцпдумп“ да бисте инсталирали тцпдумп у Убунту Линук.

Хватање пакета у Тцпдумп:

Да бисмо започели процес снимања, прво морамо да пронађемо наш радни интерфејс помоћу „ифцонфиг”Наредба. Или можемо да наведемо све доступне интерфејсе помоћу тцпдумп команда са „-Д" опција.

убунту $ убунту: ~ $ тцпдумп -Д

Да бисте започели поступак хватања, можете користити синтаксу;

тцпдумп [-оптионс] [израз]

На пример, у наредби испод користимо „-и“Опција за хватање саобраћаја на„енп0с3”Интерфејс, са„-ц”Заставица за ограничавање заробљених пакета и писање“-в”То а тест_цаптуре.пцап датотека.

убунту $ убунту: ~ $ судо тцпдумп -и енп0с3 -ц 20 -в / тмп / тест_цаптуре.пцап

Слично томе, можете користити различите комбинације филтера да бисте изоловали саобраћај према вашим захтевима. Један такав пример укључује хватање мрежних података који одлазе и стижу до хоста помоћу домаћин команда за одређену Лука. Штавише, користио сам „-н”Застава да спречи тцпдумп да ухвати ДНС претраживања. Ова застава је врло корисна у засићењу саобраћаја током решавања проблема са мрежом.

убунту $ убунту: ~ $ судо тцпдумп -и енп0с3 -ц 20 хост 10.0.2.15 и дст порт 80 -в / тмп / тест_цаптуре1.пцап
тцпдумп: преслушавање на енп0с3, тип везе ЕН10МБ (Етхернет), величина снимања 262144 бајта
Ухваћено 20 пакета
21 пакет примљен филтером
0 пакета које је кернел испустио

Користимо „и”Наредба за хватање само пакета који садрже хост 10.0.2.15 и одредишни порт 80. Слично томе, различити други филтри се могу применити за олакшавање задатака решавања проблема.

Ако не желите да користите „-цЗаставицу да бисте ограничили хватање саобраћаја, можете користити сигнал прекида, тј.е., Цтрл + Ц, да заустави процес изолације.

Читање Тцпдумп датотека

Читање тцпдумп заробљених датотека може бити огромно. Тцп подразумевано додељује имена ИП адресама и портовима. Користићемо „-рЗастава за читање већ снимљене датотеке тест_цаптуре.пцап сачувано у / тмп директоријум. Упутићемо излаз на авк наредба за излаз само изворне ИП адресе и портова и усмјеравање у наредбу глава за приказ само првих 5 уноса.

убунту $ убунту: ~ $ судо тцпдумп -р / тмп / тест_цаптуре1.пцап | авк -Ф “” 'испис $ 3' | глава -5
читање из датотеке / тмп / тест_цаптуре.пцап, тип везе ЕН10МБ (Етхернет)
ИП убунту.53298
ИП убунту.53298
ИП убунту.53298
ИП убунту.53298
ИП убунту.53298

Међутим, препоручује се употреба ИП адреса и портова у бројевима за решавање проблема са умрежавањем. Онемогућићемо резолуцију ИП имена помоћу „-н”Застава и имена лука са„-нн„.

убунту $ убунту: ~ $ судо тцпдумп -и енп0с3 -н
тцпдумп: потиснути опсежни излаз, користите -в или -вв за потпуно декодирање протокола
слуша се на енп0с3, тип везе ЕН10МБ (Етхернет), величина снимања 262144 бајта
20:08:22.146354 ИП 10.0.2.15.54080> 172.67.39.148.443: Заставе [стр.], сек 1276027591: 1276027630, ацк 544039114, вин 63900, ленгтх 39
20:08:22.146745 ИП 10.0.2.15.43456> 54.204.39.132.443: Заставе [стр.], сек 3381018839: 3381018885, ацк 543136109, вин 65535, дужина 46
20:08:22.147506 ИП 172.67.39.148.443> 10.0.2.15.54080: Заставе [.], ака 39, победа 65535, дужина 0
20:08:22.147510 ИП 54.204.39.132.443> 10.0.2.15.43456: Заставе [.], ака 46, победа 65535, дужина 0
20:08:22.202346 ИП 216.58.209.142.443> 10.0.2.15.41050: Заставе [стр.], сек 502925703: 502925826, ацк 1203118935, вин 65535, дужина 123
20:08:22.202868 ИП 10.0.2.15.41050> 216.58.209.142.443: Заставе [стр.], сек 1:40, ацк 123, вин 65535, дужина 39

Разумевање заробљених резултата

Тцпдумп снима многе протоколе, укључујући УДП, ТЦП, ИЦМП итд. Није лако све овде покрити. Међутим, важно је разумети како се информације приказују и које параметре укључују.

Тцпдумп приказује сваки пакет у реду, са временском ознаком и информацијама у вези са протоколом. Генерално, формат ТЦП протокола је следећи:

. > .: , , , , ,

Објаснимо једно од заробљених поља пакета по поља:

20:08:22.146354 ИП 10.0.2.15.54080> 172.67.39.148.443: Заставе [стр.], сек 1276027591: 1276027630, ацк 544039114, вин 63900, ленгтх 39

• 20:08:22.146354: Временска ознака ухваћеног пакета
• ИП: Протокол мрежног слоја.
• 10.0.2.15.54080: Ово поље садржи изворну ИП адресу и изворни порт.
• 172.67.39.148.443: Ово поље представља одредишну ИП адресу и број порта.
• Заставе [П.] /: Заставице представљају стање везе. У овом случају, [П.] означава пакет потврде ПУСХ. Поље заставе такође укључује неке друге вредности као што су:
  1. С: СИНХ
  2. П: ПУСХ
  3. [.]: АЦК
  4. Ф: ФИН
  5. [С.]: СИН_АЦК
  6. Р: РСТ
• сек 1276027591: 1276027630: Број секвенце у првом: последњи формат означава број података у пакету. Изузимајући први пакет где су бројеви апсолутни, следећи пакети имају релативне бројеве. У овом случају, овде наведени бројеви значе да пакет садржи бајтове података од 1276027591 до 1276027630.
• ацк 544039114: Број потврде приказује следећи очекивани редни број података.
• вин 63900: Величина прозора приказује број доступних бајтова у примљеном баферу.
• дужина 39: Дужина података о корисном оптерећењу, у бајтовима.

Напредни филтери

Сада можемо користити неке напредне опције филтера заглавља за приказ и анализу само пакета података. У било ком ТЦП пакету, ТЦП заставе почињу од 14. бајта тако да ПСХ и АЦК представљају 4. и 5. бит.

Ове информације можемо користити укључивањем ових битова 00011000 или 24 за приказ пакета података са само ПСХ и АЦК заставицама. Овај број прослеђујемо тцпдумп-у са филтером „тцп [13] = 24“, Имајте на уму да индекс низа у ТЦП-у почиње на нули.

Ми ћемо филтрирати овај пакет из нашег тект_цаптуре.пцап датотеку и користите -А опција за приказ свих детаља о пакету.

Слично томе, помоћу њих можете филтрирати неке друге пакете заставица „Тцп [13] = 8“ и „тцп [13] = 2“ само за ПСХ и СИН заставице итд.

убунту $ убунту: ~ $ судо тцпдумп -А 'тцп [13] = 24' -р / тмп / тест_цаптуре.пцап
читање из датотеке / тмп / тест_цаптуре.пцап, ЕН10МБ типа везе (Етхернет)
19:26:17.827902 ИП убунту.53298> 32.121.122.34.пре нове ере.гооглеусерцонтент.цом.хттп: Заставе [П.], сек 4286571276: 4286571363, ацк 252096002, вин 64240, дужина 87: ХТТП: ГЕТ / ХТТП / 1.1
Е…:?@.@.Икс.
... "зи .2.П… П… ГЕТ / ХТТП / 1.1
Домаћин: провера повезаности.убунту.цом
Прихвати: * / *
Веза: близу

Закључак

У овом чланку упознали смо вас са неким од најважнијих тема тцпдумпа. Тцпдумп, у комбинацији са снагом ЦЛИ-а, може бити од велике помоћи у решавању мрежних проблема, аутоматизацији и управљању безбедношћу. Једном проучени и комбиновани, његови филтри и опције командне линије могу много да допринесу свакодневном решавању проблема и задацима аутоматизације и свеукупном разумевању мреже.