Анализатор пакетов: 15 примеров команд TCPDUMP

Мы предоставляем услуги удаленного администрирования серверов

Анализатор пакетов: 15 примеров команд TCPDUMP

Поделиться

Команда tcpdump также называется анализатором пакетов.

Команда tcpdump будет работать на большинстве разновидностей операционной системы Unix. tcpdump позволяет нам сохранять захваченные пакеты, чтобы мы могли использовать его для дальнейшего анализа. Сохраненный файл можно просмотреть с помощью той же команды tcpdump. Мы также можем использовать программное обеспечение с открытым исходным кодом, например wireshark, для чтения файлов pcap tcpdump.

В этом руководстве tcpdump давайте обсудим некоторые практические примеры использования команды tcpdump.

1. Захватите пакеты от определенного интерфейса Ethernet, используя tcpdump -i

Когда вы выполните команду tcpdump без какой-либо опции, она будет перехватывать все пакеты, проходящие через все интерфейсы. Опция -i с командой tcpdump позволяет фильтровать определенный интерфейс Ethernet.

$ tcpdump -i eth1
14:59:26.608728 IP xx.domain.netbcp.net.52497 > valh4.lell.net.ssh: . ack 540 win 16554
14:59:26.610602 IP resolver.lell.net.domain > valh4.lell.net.24151:  4278 1/0/0 (73)
14:59:26.611262 IP valh4.lell.net.38527 > resolver.lell.net.domain:  26364+ PTR? 244.207.104.10.in-addr.arpa. (45)

В этом примере tcpdump перехватывает все потоки пакетов в интерфейсе eth1 и отображает в стандартном выводе.

Примечание . Утилита Editcap используется для выбора или удаления определенных пакетов из файла дампа и их перевода в заданный формат.

2. Захватить только N количество пакетов, используя tcpdump -c

Когда вы выполняете команду tcpdump, она выдает пакеты до тех пор, пока вы не отмените команду tcpdump. Используя опцию -c, вы можете указать количество пакетов для захвата.

$ tcpdump -c 2 -i eth0
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:38:38.184913 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457255642:1457255758(116) ack 1561463966 win 63652
14:38:38.690919 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652
2 packets captured
13 packets received by filter
0 packets dropped by kernel

Приведенная выше команда tcpdump захватила только 2 пакета с интерфейса eth0.

Примечание: Mergecap и TShark : Mergecap — это инструмент объединения дампов пакетов, который объединит несколько дампов в один файл дампов. Tshark — это мощный инструмент для захвата сетевых пакетов, который можно использовать для анализа сетевого трафика. Поставляется с сетевым анализатором wireshark.

3. Показать захваченные пакеты в ASCII, используя tcpdump -A

Следующий синтаксис tcpdump печатает пакет в ASCII.

$ tcpdump -A -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:34:50.913995 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457239478:1457239594(116) ack 1561461262 win 63652
E.....@.@..]..i...9...*.V...]...P....h....E...>{..U=...g.
......G..7\+KA....A...L.
14:34:51.423640 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652
E.....@.@..\..i...9...*.V..*]...P....h....7......X..!....Im.S.g.u:*..O&....^#Ba...
E..(R.@.|.....9...i.*...]...V..*P..OWp........

Примечание. Команда Ifconfig3 используется для настройки сетевых интерфейсов.

4. Показать захваченные пакеты в HEX и ASCII, используя tcpdump -XX

Некоторые пользователи могут захотеть анализировать пакеты в шестнадцатеричных значениях. tcpdump предоставляет способ печати пакетов в формате ASCII и HEX.

$tcpdump -XX -i eth0
18:52:54.859697 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 232 win 16511
        0x0000:  0050 569c 35a3 0019 bb1c 0c00 0800 4500  .PV.5.........E.
        0x0010:  0028 042a 4000 7906 c89c 10b5 aaf6 0f9a  .(.*@.y.........
        0x0020:  69c4 f999 0016 57db 6e08 c712 ea2e 5010  i.....W.n.....P.
        0x0030:  407f c976 0000 0000 0000 0000            @..v........
18:52:54.877713 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]
        0x0000:  0050 569c 35a3 0000 0000 0000 0800 4600  .PV.5.........F.
        0x0010:  0024 0000 0000 0102 3ad3 0a00 0000 e000  .$......:.......
        0x0020:  0001 9404 0000 1101 ebfe 0000 0000 0300  ................
        0x0030:  0000 0000 0000 0000 0000 0000            ............

5. Захватите пакеты и запишите в файл, используя tcpdump -w

tcpdump позволяет вам сохранять пакеты в файл, и позже вы можете использовать файл пакета для дальнейшего анализа.

$ tcpdump -w 08232010.pcap -i eth0
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
32 packets captured
32 packets received by filter
0 packets dropped by kernel

Опция -w записывает пакеты в данный файл. Расширение файла должно быть .pcap, которое может быть прочитано любым
анализатором сетевых протоколов .

6. Чтение пакетов из сохраненного файла с помощью tcpdump -r

Вы можете прочитать захваченный файл pcap и просмотреть пакеты для анализа, как показано ниже.

$tcpdump -tttt -r data.pcap
2010-08-22 21:35:26.571793 00:50:56:9c:69:38 (oui Unknown) > Broadcast, ethertype Unknown (0xcafe), length 74:
        0x0000:  0200 000a ffff 0000 ffff 0c00 3c00 0000  ............<...
        0x0010:  0000 0000 0100 0080 3e9e 2900 0000 0000  ........>.).....
        0x0020:  0000 0000 ffff ffff ad00 996b 0600 0050  ...........k...P
        0x0030:  569c 6938 0000 0000 8e07 0000            V.i8........
2010-08-22 21:35:26.571797 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 800464396:800464448(52) ack 203316566 win 71
2010-08-22 21:35:26.571800 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 52:168(116) ack 1 win 71
2010-08-22 21:35:26.584865 IP valh5.lell.net.ssh > 11.154.12.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC

7. Захватывайте пакеты с IP-адресом, используя tcpdump -n

Во всех приведенных выше примерах он печатает пакеты с DNS-адресом, но не с IP-адресом. В следующем примере фиксируются пакеты, и он отображает IP-адрес задействованных машин.

$ tcpdump -n -i eth0
15:01:35.170763 IP 10.0.19.121.52497 > 11.154.12.121.ssh: P 105:157(52) ack 18060 win 16549
15:01:35.170776 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 23988:24136(148) ack 157 win 113
15:01:35.170894 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 24136:24380(244) ack 157 win 113

8. Захватывайте пакеты с правильной читаемой меткой времени, используя tcpdump -tttt

$ tcpdump -n -tttt -i eth0

2010-08-22 15:10:39.162830 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 49800 win 16390
2010-08-22 15:10:39.162833 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50288 win 16660
2010-08-22 15:10:39.162867 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50584 win 16586

9. Читайте пакеты длиннее, чем N байтов

Вы можете получать только пакеты больше чем n байтов, используя фильтр ‘great’ через команду tcpdump

$ tcpdump -w g_1024.pcap greater 1024

10. Получать только пакеты определенного типа протокола

Вы можете получать пакеты в зависимости от типа протокола. Вы можете указать один из этих протоколов — fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp и udp. В следующем примере фиксируются только пакеты arp, проходящие через интерфейс eth0.

$ tcpdump -i eth0 arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:41:52.809642 arp who-has valh5.lell.net tell valh9.lell.net
19:41:52.863689 arp who-has 11.154.12.1 tell valh6.lell.net
19:41:53.024769 arp who-has 11.154.12.1 tell valh7.lell.net

11. Чтение пакетов меньше N байтов

Вы можете получать только пакеты размером менее n байтов, используя фильтр ‘less’ с помощью команды tcpdump

$ tcpdump -w l_1024.pcap  less 1024

12. Потоки принимаемых пакетов через определенный порт, используя порт tcpdump

Если вы хотите знать все пакеты, полученные конкретным портом на машине, вы можете использовать команду tcpdump, как показано ниже.

$ tcpdump -i eth0 port 22
19:44:44.934459 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 18932:19096(164) ack 105 win 71
19:44:44.934533 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19096:19260(164) ack 105 win 71
19:44:44.934612 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19260:19424(164) ack 105 win 71

13. Захват пакетов для определенного IP-адреса назначения и порта

Пакеты будут иметь IP-адрес источника и назначения и номера портов. Используя tcpdump, мы можем применить фильтры к исходному или целевому IP и номеру порта. Следующая команда перехватывает потоки пакетов в eth0 с определенным IP-адресом назначения и номером порта 22.

$ tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22

14. Захват TCP пакетов связи между двумя хостами

Если два разных процесса с двух разных машин обмениваются данными по протоколу tcp, мы можем перехватить эти пакеты, используя tcpdump, как показано ниже.

$tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22

Вы можете открыть файл comm.pcap, используя любой инструмент анализатора сетевых протоколов, для устранения возможных проблем.

15. tcpdump Filter Packets — захватывает все пакеты, кроме arp и rarp

В команде tcpdump вы можете задать условия «и», «или» и «не» для соответствующей фильтрации пакетов.

$ tcpdump -i eth0 not arp and not rarp
20:33:15.479278 IP resolver.lell.net.domain > valh4.lell.net.64639:  26929 1/0/0 (73)
20:33:15.479890 IP valh4.lell.net.16053 > resolver.lell.net.domain:  56556+ PTR? 255.107.154.15.in-addr.arpa. (45)
20:33:15.480197 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 540:1504(964) ack 1 win 96
20:33:15.487118 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 540 win 16486
20:33:15.668599 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]
 2019-2020 © linuxadmins all rights reserved

Facebook Twitter Vkontakte