Tässä oppaassa osoitamme, kuinka tcpdump asennetaan Linux-järjestelmään ja kuinka TCP/IP-paketit kaapataan ja analysoidaan tcpdumpin avulla.
Kuinka asentaa Tcpdump
Tcpdump on esiasennettu moniin Linux-jakeluihin. Mutta jos sitä ei ole vielä asennettu järjestelmääsi, voit asentaa tcpdump-ohjelman Linux-järjestelmääsi. Asenna tcpdump Ubuntu 22.04 -järjestelmään käyttämällä seuraavaa komentoa:
$ sudo apt install tcpdump
Asenna tcpdump Fedoraan/CentOS:ään käyttämällä seuraavaa komentoa:
$ sudo dnf asentaa tcpdump
Pakettien kaappaaminen Tcpdump-komennolla
Jos haluat kaapata paketit tcpdumpilla, käynnistä pääte sudo-oikeuksilla käyttämällä “Ctrl+Alt+t”. Tämä työkalu sisältää erilaisia vaihtoehtoja ja suodattimia TCP/IP-pakettien sieppaamiseen. Jos haluat kaapata kaikki virtaavat paketit nykyisestä tai oletusverkkoliittymästä, käytä 'tcpdump'-komentoa ilman vaihtoehtoja.
$ sudo tcpdump
Annettu komento kaappaa järjestelmäsi oletusverkkoliitännän paketit.
Tämän komennon suorituksen lopussa kaikki siepatut ja suodatetut pakettimäärät näkyvät päätteessä.
Ymmärretään tulos.
Tcpdump mahdollistaa TCP/IP-pakettien otsikoiden analysoinnin. Se näyttää yhden rivin jokaiselle paketille, ja komento jatkuu, kunnes lopetat sen painamalla Ctrl+C.
Jokainen tcpdumpin tarjoama rivi sisältää seuraavat tiedot:
- Unix-aikaleima (esim. 02:28:57.839523)
- Protokolla (IP)
- Lähteen isäntänimi tai IP ja portin numero
- Kohteen isäntänimi tai IP ja portin numero
- TCP-liput (esim. liput [F.]), jotka osoittavat yhteyden tilan arvoilla, kuten S (SYN), F (FIN),. (ACK), P (PUSH), R (RST)
- Paketin datan järjestysnumero (esim. sekvenssi 5829:6820)
- Kuittausnumero (esim. kuittaus 1016)
- Ikkunan koko (esim. win 65535), joka edustaa käytettävissä olevia tavuja vastaanottopuskurissa ja sen jälkeen TCP-asetukset
- Datan hyötykuorman pituus (esim. pituus 991)
Listaaksesi kaikki järjestelmäsi verkkoliitännät, käytä 'tcpdump'-komentoa '-D'-vaihtoehdon kanssa.
$ sudo tcpdump -Dtai
$ tcpdump --list-liitännätTämä komento luettelee kaikki verkkoliitännät, jotka on kytketty tai jotka ovat käynnissä Linux-järjestelmässäsi.
Kaappaa määritetyn verkkoliitännän paketit
Jos haluat kaapata tietyn rajapinnan läpi kulkevat TCP/IP-paketit, käytä '-i'-lippua 'tcpdump'-komennon kanssa ja määritä verkkoliitännän nimi.
$ sudo tcpdump -i lo 
Annettu komento kaappaa liikenteen 'lo'-rajapinnassa. Jos haluat näyttää monisanaiset tai yksityiskohtaiset tiedot paketista, käytä '-v' -lippua. Voit tulostaa kattavampia tietoja käyttämällä '-vv'-lippua 'tcpdump'-komennon kanssa. Säännöllinen käyttö ja analysointi auttavat ylläpitämään vankkaa ja turvallista verkkoympäristöä.
Vastaavasti voit kaapata liikenteen missä tahansa käyttöliittymässä käyttämällä seuraavaa komentoa:
$ sudo tcpdump -i mikä tahansa 
Kaappaa paketit käyttämällä tiettyä porttia
Voit siepata ja suodattaa paketteja määrittämällä liitännän nimen ja portin numeron. Jos haluat esimerkiksi kaapata verkkopaketit, jotka kulkevat 'enp0s3'-liitännän kautta portin 22 kautta, käytä seuraavaa komentoa:
$ tcpdump -i enp0s3 portti 22Edellinen komento kaappaa kaikki virtaavat paketit 'enp0s3'-liittymästä.
Kaappaa rajoitetut paketit Tcpdumpilla
Voit käyttää '-c'-lippua 'tcpdump'-komennon kanssa siepataksesi tietyn määrän paketteja. Jos haluat esimerkiksi kaapata neljä pakettia 'enp0s3'-rajapinnassa, käytä seuraavaa komentoa:
$ tcpdump -i enp0s3 -c 4 
Vaihda käyttöliittymän nimi järjestelmääsi käyttämällä.
Hyödylliset Tcpdump-komennot verkkoliikenteen kaappaamiseen
Seuraavassa on lueteltu joitain hyödyllisiä 'tcpdump'-komentoja, jotka auttavat sinua sieppaamaan ja suodattamaan verkkoliikennettä tai paketteja tehokkaasti:
'tcpdump'-komennolla voit kaapata rajapinnan paketit määritetyllä kohde-IP- tai lähde-IP-osoitteella.
$ tcpdump -i {rajapinnan-nimi} dst {kohde-ip}Voit kaapata paketit tilannevedoksen koolla 65535 tavua, joka eroaa oletuskoosta 262144 tavua. Vanhemmissa tcpdump-versioissa sieppauksen koko oli rajoitettu 68 tai 96 tavuun.
$ tcpdump -i enp0s3 -s 65535 
Kuinka tallentaa kaapatut paketit tiedostoon
Jos haluat tallentaa kaapatut tiedot tiedostoon jatkoanalyysiä varten, voit tehdä sen. Se kaappaa liikenteen määritetyssä käyttöliittymässä ja tallentaa sen sitten '.pcap'-tiedostoon. Käytä seuraavaa komentoa tallentaaksesi kaapatut tiedot tiedostoon:
$ tcpdump -iMeillä on esimerkiksi 'enps03'-käyttöliittymä. Tallenna nämä kaapatut tiedot seuraavaan tiedostoon:
$ sudo tcpdump -i enps03 -w dump.pcapJatkossa voit lukea tämän kaapatun tiedoston Wiresharkin tai muiden verkkoanalyysityökalujen avulla. Joten jos haluat käyttää Wiresharkia pakettien analysointiin, käytä '-w'-argumenttia ja tallenna se '.pcap'-tiedostoon.
Johtopäätös
Tässä opetusohjelmassa näytimme eri esimerkkien avulla, kuinka paketit kaapataan ja analysoidaan tcpdumpilla. Opimme myös tallentamaan kaapatun liikenteen '.pcap'-tiedostoon, jota voit tarkastella ja analysoida Wiresharkin ja muiden verkkoanalyysityökalujen avulla.