Phenquestions
“Tcpdump” - це аналізатор пакетів, який використовується для діагностики та аналізу мережевих проблем. Він фіксує мережевий трафік, що проходить через ваш пристрій, і переглядає його. Інструмент "tcpdump" - це потужний інструмент для усунення мережевих проблем. Він постачається з багатьма опціями, що робить його універсальною утилітою командного рядка для виправлення мережевих проблем.
Цей допис є докладним керівництвом про утиліту “tcpdump”, що включає її встановлення, загальні функції та використання з різними опціями. Почнемо з установки:
Як встановити “tcpdump”:
У багатьох дистрибутивах “tcpdump” виходить із коробки, і для його перевірки використовуйте:
$ який tcpdump
Якщо він не знайдений у вашому дистрибутиві, встановіть його за допомогою:
$ sudo apt встановити tcpdumpВищевказана команда буде використана для дистрибутивів на базі Debian, таких як Ubuntu та LinuxMint. Для “Redhat” та “CentOS” використовуйте:
$ sudo dnf встановити tcpdumpЯк захопити пакети за допомогою tcpdump:
Для захоплення пакетів можна використовувати різні інтерфейси. Щоб отримати список інтерфейсів, використовуйте:
$ sudo tcpdump -D
Або просто використовуйте “any” з командою “tcpdump”, щоб отримувати пакети з активного інтерфейсу. Щоб розпочати використання захоплення пакетів:
$ sudo tcpdump --інтерфейс будь-який
Вищевказана команда відстежує пакети з усіх активних інтерфейсів. Пакети будуть безперервно захоплюватися, поки він не отримає переривання від користувача (ctrl-c).
Ми також можемо обмежити кількість захоплених пакетів, використовуючи прапорець “-c”, який позначає “рахунок”.”Щоб захопити 3 пакети, використовуйте:
$ sudo tcpdump -i будь-який -c3
Вищевказана команда корисна для фільтрації певного пакету. Більше того, для вирішення проблем із підключенням потрібно захопити лише кілька початкових пакетів.
“tcpdump”Команда за замовчуванням захоплює пакети з іменами IP та портів, але для очищення, безладу та полегшення розуміння виводу; імена можна відключити за допомогою “-п”Та“-пп”Для опції порту:
$ sudo tcpdump -i будь-який -c3 -nn
Як показано у наведеному вище виведенні, імена IP та портів були вилучені.
Як зрозуміти інформацію про захоплений пакет:
Щоб дізнатись про різні поля захопленого пакету, візьмемо приклад пакета TCP:
Пакет може мати різні поля, але загальні відображаються вище. Перше поле, “09:48:18.960683,”Являє собою час отримання пакета. Далі йде IP-адреса; перший IP [216.58.209.130] - це вихідний IP, а другий IP [10.0.2.15.55812] - IP-адреса призначення. Тоді ви отримаєте прапор [P.]; список типових прапорів наведено нижче:
| Прапор | Тип | Опис |
| “." | ACK | Позначає підтвердження |
| S | SYN | Прапор для встановлення з'єднання |
| F | FIN | Прапор для закритого з'єднання |
| P | ПУСКАТИ | Вказує надсилання даних від відправника |
| Р | RST | Скидання з'єднання |
А далі йде порядковий номер “послідовності 185: 255". Клієнт і сервер використовують 32-розрядний порядковий номер для збереження та моніторингу даних.
“ack”- це прапор; якщо воно 1, це означає, що номер підтвердження дійсний, і одержувач очікує наступний байт.
Номер вікна вказує розмір буфера. “виграти 65535"Означає обсяг даних, який можна буферизувати.
І зрештою приходить довжина [70] пакета в байтах, що є різницею “185: 255".
Фільтрування пакетів для виправлення мережевих проблем:
Інструмент "tcpdump" захоплює сотні пакетів, і більшість з них мають меншу важливість, що ускладнює отримання потрібної інформації для усунення несправностей. У цьому випадку фільтрація відіграватиме свою роль. Наприклад, під час усунення несправностей, якщо вас не цікавить певний тип трафіку, ви можете відфільтрувати його за допомогою "tcpdump", який постачається з фільтрацією пакетів відповідно до IP-адрес, портів та протоколів.
Як захопити пакет за допомогою імені хосту за допомогою команди tcpdump:
Щоб отримати пакет лише з певного хоста, використовуйте:
$ sudo tcpdump -i будь-хост -c4 10.0.2.15
Якщо ви хочете отримати лише односторонній трафік, використовуйте “src”Та“dst”Варіанти на місці“господар."
Як захопити пакет за допомогою номера порту за допомогою команди tcpdump:
Щоб фільтрувати пакети з номером порту, використовуйте:
$ sudo tcpdump -i будь-який -c3 -nn порт 443
“443” - це номер порту HTTPS.
Як захопити пакет за допомогою протоколу за допомогою команди tcpdump:
За допомогою команди “tcpdump” ви можете фільтрувати пакети за будь-яким протоколом, таким як udp, icmp, arp тощо. Просто введіть назву протоколу:
$ sudo tcpdump -i будь-який -c6 udp
Вищевказані команди захоплять лише ті пакети, які належать протоколу “udp”.
Як поєднати параметри фільтрації за допомогою логічних операторів:
Різні параметри фільтрації можна комбінувати за допомогою логічних операторів, таких як “та / або”:
$ sudo tcpdump -i будь-який -c6 -nn хост 10.0.2.15 і порт 443
Як зберігати захоплені дані:
Схоплені дані можна зберегти у файл для подальшого моніторингу, і для цього буде використана опція “-w”, а “w” означає “запис”:
$ sudo tcpdump -i будь-який -c5 -w packetData.pcap
Розширенням файлу буде ".pcap ", що означає" захоплення пакетів.Після закінчення захоплення файл буде збережено на вашому локальному диску. Цей файл не можна відкрити або прочитати за допомогою будь-якої програми редактора тексту. Щоб прочитати його, використовуйте-р”Прапор із“ tcpdump ”:
$ tcpdump -r packetData.pcap
Висновок:
«Tcpdump» є цінним та гнучким інструментом для захоплення та аналізу мережевого трафіку для усунення мережевих проблем. Пункт уваги цього посібника полягає у вивченні основного та вдосконаленого використання утиліти командного рядка “tcpdump”. Але якщо вам це важко, то існує менш складна програма на основі графічного інтерфейсу, яка називається “Wireshark”, яка виконує майже ту саму роботу, але з різними додатковими функціями.
