האם אתה מנסה ללכוד מנות נתונים על מנת לנתח תנועה ברשת שלך? אולי אתה מנהל שרת שנתקל בבעיה ורוצה לעקוב אחר נתונים מועברים ברשת. לא משנה מה המצב, כלי tcpdump Linux הוא מה שאתה צריך.
במאמר זה נדון בפירוט בפקודה tcpdump, יחד עם כמה מדריכים כיצד להתקין ולהשתמש tcpdump במערכת הלינוקס שלך.
מהי פקודת tcpdump?
Tcpdump הוא כלי ניטור רשת רב עוצמה המאפשר למשתמש לסנן חבילות ותעבורה ברשת ביעילות. אתה יכול לקבל מידע מפורט הקשור ל- TCP/IP והחבילות המועברות ברשת שלך. Tcpdump הוא כלי שורת פקודה, כלומר אתה יכול להריץ אותו בשרתי לינוקס ללא תצוגה.
מנהלי מערכות יכולים גם לשלב את השירות tcpdump עם cron על מנת להפוך משימות שונות לאוטומטיות כגון רישום. מכיוון שהתכונות הרבות שלה הופכות אותו למגוון למדי, tcpdump פועל כפתרון בעיות וככלי אבטחה.
כיצד להתקין tcpdump על לינוקס
בעוד שרוב הזמן תמצא tcpdump מותקן מראש במערכת שלך, חלק מהפצות לינוקס אינן נשלחות עם החבילה. לכן, ייתכן שיהיה עליך להתקין את כלי השירות באופן ידני במערכת שלך.
אתה יכול לבדוק אם tcpdump מותקן במערכת שלך באמצעות איזה פקודה.
which tcpdump
אם הפלט מציג נתיב ספרייה ( /usr/bin/tcpdump ), אז המערכת שלך מותקנת בחבילה. עם זאת אם לא, תוכל לעשות זאת בקלות באמצעות מנהל החבילות המוגדר כברירת מחדל במערכת שלך.
כדי להתקין tcpdump בהפצות מבוססות Debian כגון אובונטו:
sudo apt-get install tcpdump
התקנת tcpdump ב- CentOS קלה גם כן.
sudo yum install tcpdump
על הפצות מבוססות קשת:
sudo pacman -S tcpdump
להתקנה ב- Fedora:
sudo dnf install tcpdump
שים לב שחבילת tcpdump דורשת libcap כתלות, לכן הקפד להתקין אותו גם במערכת שלך.
דוגמאות Tcpdump ללכידת מנות רשת בלינוקס
כעת, לאחר שהתקנת בהצלחה tcpdump במחשב הלינוקס שלך, הגיע הזמן לעקוב אחר כמה מנות. מכיוון tcpdump דורש הרשאות משתמש -על לביצוע רוב הפעולות, יהיה עליך להוסיף סודו לפקודות שלך.
1. רשימת כל ממשקי הרשת
כדי לבדוק אילו ממשקי רשת זמינים ללכידה, השתמש ב -D דגל עם הפקודה tcpdump.
tcpdump -D
עובר את -ממשקי רשימה flag כארגומנט יחזיר את אותו פלט.
tcpdump --list-interfaces
הפלט יהיה רשימה של כל ממשקי הרשת הקיימים במערכת שלך.
לאחר קבלת רשימת ממשקי הרשת, הגיע הזמן לפקח על הרשת שלך על ידי לכידת מנות במערכת שלך. למרות שאתה יכול לציין באיזה ממשק אתה רוצה להשתמש, כל argument פקודות tcpdump ללכוד מנות רשת באמצעות כל ממשק פעיל.
tcpdump --interface any
המערכת תציג את הפלט הבא.
אפליקציות הטעינת הצד הטובות ביותר ל Fire TV
קָשׁוּר: מהו המודל לחיבור מערכות פתוחות?
2. פורמט פלט tcpdump
החל מהשורה השלישית, כל שורה של הפלט מציינת מנות ספציפיות שנתפסו על ידי tcpdump. כך נראה הפלט של מנה אחת.
17:00:25.369138 wlp0s20f3 Out IP localsystem.40310 > kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196:568, ack 1, win 309, options [nop,nop,TS val 117964079 ecr 816509256], length 33
זכור שלא כל המנות נלכדות בדרך זו, אך זהו הפורמט הכללי שאחריו רובן.
הפלט מכיל את המידע הבא.
- חותמת הזמן של החבילה שהתקבלה
- שם ממשק
- זרימת מנות
- שם פרוטוקול הרשת
- כתובת IP ופרטי יציאה
- דגלי TCP
- מספר רצף הנתונים בחבילה
- אקנה נתונים
- גודל חלון
- אורך החבילה
השדה הראשון ( 17: 00: 25.369138 ) מציג את חותמת הזמן כאשר המערכת שלחה או קיבלה את החבילה. הזמן המוקלט מופק מהזמן המקומי של המערכת שלך.
מה זה אומר לעקוב אחר מישהו בפייסבוק
השדות השני והשלישי מציינים את הממשק המשמש ואת זרימת החבילה. בקטע למעלה, wlp0s20f3 הוא שם הממשק האלחוטי ו- הַחוּצָה היא זרימת המנות.
השדה הרביעי כולל מידע הקשור לשם פרוטוקול הרשת. באופן כללי, תמצא שני פרוטוקולים- IP ו IP6 , כאשר IP מציין IPV4 ו- IP6 מיועד ל- IPV6.
השדה הבא מכיל את כתובות ה- IP או את שם המקור ומערכת היעד. כתובות ה- IP עוקבות אחריהן מספר היציאה.
השדה השישי בפלט מורכב מדגלי TCP. ישנם דגלים שונים המשמשים את הפלט tcpdump.
שם הדגל | ערך | תיאור |
---|---|---|
מראה | ס | התחיל החיבור |
סוֹף | ו | החיבור הסתיים |
לִדחוֹף | פ | הנתונים נדחפים |
RST | ר | החיבור מתאפס |
אבוי | . | הכרה |
הפלט יכול גם להכיל שילוב של מספר דגלי TCP. לדוגמה, דגל [ו] מייצג חבילת FIN-ACK.
אם נמשיך הלאה בקטע הפלט, השדה הבא מכיל את מספר הרצף ( פק '196: 568 ) של הנתונים בחבילה. למנה הראשונה תמיד יש ערך שלם חיובי, והמנות הבאות משתמשות במספר הרצף היחסי כדי לשפר את זרימת הנתונים.
השדה הבא מכיל את מספר האישור ( אק 1 ), או מספר Ack פשוט. למנה שנלכדה במכונת השולח יש 1 כמספר האישור. בקצה המקלט, מספר ה- Ack הוא ערך החבילה הבאה.
השדה התשיעי בפלט מתאים לגודל החלון ( לנצח 309 ), שהוא מספר הבייטים הזמין במאגר הקבלה. ישנם מספר שדות נוספים העוקבים אחר גודל החלון, כולל גודל הפלח המרבי (MSS).
השדה האחרון ( אורך 33 ) מכיל את אורך החבילה הכוללת שנלכדה על ידי tcpdump.
3. הגבל את מספר החבילות שצולמו
בעת הפעלת הפקודה tcpdump בפעם הראשונה, ייתכן שתבחין כי המערכת ממשיכה ללכוד מנות רשת עד שתעביר אות הפסקה. תוכל לעקוף התנהגות ברירת מחדל זו על ידי ציון מספר המנות שברצונך ללכוד לפני כן באמצעות -ג דֶגֶל.
tcpdump --interface any -c 10
הפקודה הנ'ל תתפוס עשר מנות מכל ממשק רשת פעיל.
4. סינון מנות המבוססות על שדות
כשאתה פותר בעיות, הובלת בלוק גדול של פלט טקסט במסוף שלך לא הופכת את זה קל יותר. כאן נכנסת לתכונה תכונת הסינון ב- tcpdump. אתה יכול לסנן את המנות לפי שדות שונים כולל המארח, פרוטוקול, מספר יציאה ועוד.
כדי ללכוד רק מנות TCP, הקלד:
tcpdump --interface any -c 5 tcp
באופן דומה, אם ברצונך לסנן את הפלט באמצעות מספר היציאה:
tcpdump --interface any -c 5 port 50
הפקודה שהוזכרה לעיל תאחזר רק מנות המועברות דרך היציאה שצוינה.
כדי לקבל את פרטי החבילה עבור מארח מסוים:
tcpdump --interface any -c 5 host 112.123.13.145
אם ברצונך לסנן מנות שנשלחו או שהתקבלו על ידי מארח ספציפי, השתמש ב src אוֹ וכו ויכוח עם הפקודה.
tcpdump --interface any -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145
אתה יכול גם להשתמש באופרטורים הלויים ו ו אוֹ לשלב שני ביטויים או יותר יחד. לדוגמה, כדי לקבל מנות השייכות ל- IP המקור 112.123.13.145 ולהשתמש ביציאה 80 :
tcpdump --interface any -c 10 src 112.123.13.145 and port 80
ניתן לקבץ ביטויים מורכבים באמצעות סוגריים כדלהלן:
tcpdump --interface any -c 10 '(src 112.123.13.145 or src 234.231.23.234) and (port 45 or port 80)'
5. הצג את תוכן החבילה
אתה יכול להשתמש ב -ל ו -איקס דגלים עם הפקודה tcpdump לניתוח התוכן של חבילת הרשת. ה -ל הדגל מייצג ASCII פורמט ו -איקס מציין הקסדצימלי פוּרמָט.
לצפייה בתוכן חבילת הרשת הבאה שנלכדה על ידי המערכת:
tcpdump --interface any -c 1 -A
tcpdump --interface any -c 1 -x
קשור: מהו אובדן מנות וכיצד ניתן לתקן את הסיבה לכך?
6. שמור נתוני לכידה בקובץ
אם אתה רוצה לשמור את נתוני הלכידה למטרות הפניה, tcpdump נמצא שם כדי לעזור לך. פשוט תעבור את -ב דגל עם פקודת ברירת המחדל כדי לכתוב את הפלט לקובץ במקום להציג אותו על המסך.
tcpdump --interface any -c 10 -w data.pcap
ה .pcap סיומת קובץ מייצגת לכידת מנות נתונים. תוכל גם להנפיק את הפקודה הנ'ל במצב מילולי באמצעות ה -v דֶגֶל.
tcpdump --interface any -c 10 -w data.pcap -v
כדי לקרוא א .pcap הקובץ באמצעות tcpdump, השתמש ב -r דגל ואחריו נתיב הקובץ. ה -r מייצג לקרוא .
מה זה אומר להתחיל רצף
tcpdump -r data.pcap
תוכל גם לסנן מנות רשת מנתוני המנות השמורים בקובץ.
tcpdump -r data.pcap port 80
מעקב אחר תעבורת רשת ב- Linux
אם הוטלה עליך המשימה לנהל שרת לינוקס, פקודת tcpdump היא כלי נהדר לכלול בארסנל שלך. תוכל לתקן בקלות בעיות הקשורות לרשת על ידי לכידת מנות המועברות ברשת שלך בזמן אמת.
אבל לפני כל זה, המכשיר שלך חייב להיות מחובר לאינטרנט. למתחילים בלינוקס, אפילו חיבור ל- Wi-Fi באמצעות שורת הפקודה יכול להיות קצת מאתגר. אבל אם אתה משתמש בכלים הנכונים, זה רגע.
לַחֲלוֹק לַחֲלוֹק צִיוּץ אימייל כיצד להתחבר ל- Wi-Fi באמצעות מסוף לינוקס באמצעות Nmcliרוצה להתחבר לרשת Wi-Fi באמצעות שורת הפקודה של Linux? הנה מה שאתה צריך לדעת על הפקודה nmcli.
קרא הבא נושאים קשורים- לינוקס
- בִּטָחוֹן
- רשת משפטית
Deepesh הוא העורך הצעיר של Linux ב- MUO. הוא כותב מדריכי מידע על לינוקס, במטרה לספק חוויה מאושרת לכל החדשים. לא בטוח לגבי סרטים, אבל אם אתה רוצה לדבר על טכנולוגיה, הוא הבחור שלך. בזמנו הפנוי אתה יכול למצוא אותו קורא ספרים, מאזין לז'אנרים מוסיקליים שונים או מנגן בגיטרה שלו.
עוד מאת דיפש שארמההירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחצו כאן להרשמה