லினக்ஸ் tcpdump எடுத்துக்காட்டுகள்

நீங்கள் லினக்ஸில் பிணைய பாக்கெட்டுகளை பகுப்பாய்வு செய்ய வேண்டும் அல்லது இடைமறிக்க வேண்டும் என்றால், ஒரு கன்சோல் பயன்பாட்டைப் பயன்படுத்துவது நல்லது tcpdump. ஆனால் அதன் சிக்கலான நிர்வாகத்தில் சிக்கல் எழுகிறது. பயன்பாட்டுடன் பணிபுரிவது சிரமமாக இருக்கிறது என்பது சராசரி பயனருக்குத் தோன்றும், ஆனால் இது முதல் பார்வையில் மட்டுமே. கட்டுரை tcpdump எவ்வாறு இயங்குகிறது, அதில் என்ன தொடரியல் உள்ளது, அதை எவ்வாறு பயன்படுத்துவது மற்றும் அதன் பயன்பாட்டிற்கு ஏராளமான எடுத்துக்காட்டுகள் வழங்கப்படும்.

மேலும் காண்க: உபுண்டு, டெபியன், உபுண்டு சேவையகத்தில் இணைய இணைப்பை அமைப்பதற்கான வழிகாட்டிகள்

நிறுவல்

லினக்ஸ் அடிப்படையிலான இயக்க முறைமைகளின் பெரும்பாலான டெவலப்பர்கள் முன்பே நிறுவப்பட்டவர்களின் பட்டியலில் tcpdump பயன்பாட்டை உள்ளடக்குகின்றன, ஆனால் சில காரணங்களால் அது உங்கள் விநியோகத்தில் இல்லை என்றால், நீங்கள் அதை எப்போதும் பதிவிறக்கி நிறுவலாம் "முனையம்". உங்கள் OS டெபியனை அடிப்படையாகக் கொண்டிருந்தால், இவை உபுண்டு, லினக்ஸ் புதினா, காளி லினக்ஸ் போன்றவை என்றால், நீங்கள் இந்த கட்டளையை இயக்க வேண்டும்:

sudo apt install tcpdump

நிறுவும் போது, ​​நீங்கள் கடவுச்சொல்லை உள்ளிட வேண்டும். டயல் செய்யும் போது, ​​அது காட்டப்படாது, நீங்களும் நுழைய வேண்டும் என்பதை நினைவில் கொள்க டி கிளிக் செய்யவும் உள்ளிடவும்.

உங்களிடம் Red Hat, Fedora அல்லது CentOS இருந்தால், நிறுவல் கட்டளை இப்படி இருக்கும்:

sudo yam install tcpdump

பயன்பாடு நிறுவப்பட்ட பிறகு, அதை உடனடியாகப் பயன்படுத்தலாம். இது மற்றும் பலவற்றை பின்னர் உரையில் விவாதிக்கப்படும்.

மேலும் காண்க: உபுண்டு சேவையகத்தில் PHP நிறுவல் கையேடு

தொடரியல்

மற்ற கட்டளைகளைப் போலவே, tcpdump க்கும் அதன் சொந்த தொடரியல் உள்ளது. அவரை அறிந்தால், கட்டளையை செயல்படுத்தும்போது கணக்கில் எடுத்துக்கொள்ள வேண்டிய அனைத்து அளவுருக்களையும் நீங்கள் அமைக்கலாம். தொடரியல் பின்வருமாறு:

tcpdump விருப்பங்கள் -i இடைமுக வடிப்பான்கள்

கட்டளையைப் பயன்படுத்தும் போது, ​​கண்காணிப்பதற்கான இடைமுகத்தை நீங்கள் குறிப்பிட வேண்டும். வடிப்பான்கள் மற்றும் விருப்பங்கள் விருப்ப மாறிகள், ஆனால் அவை மிகவும் நெகிழ்வான தனிப்பயனாக்கத்தை அனுமதிக்கின்றன.

விருப்பங்கள்

ஒரு விருப்பத்தைக் குறிப்பிடுவது அவசியமில்லை என்றாலும், கிடைக்கக்கூடியவற்றை நீங்கள் இன்னும் பட்டியலிட வேண்டும். அட்டவணை அவற்றின் முழு பட்டியலையும் காண்பிக்கவில்லை, ஆனால் மிகவும் பிரபலமானவை மட்டுமே, ஆனால் அவை பெரும்பாலான பணிகளை தீர்க்க போதுமானவை.

விருப்பங்களை ஆராய்ந்த பின்னர், கொஞ்சம் குறைவாக நாங்கள் அவர்களின் பயன்பாடுகளுக்கு நேரடியாக செல்வோம். இதற்கிடையில், வடிப்பான்கள் பரிசீலிக்கப்படும்.

வடிப்பான்கள்

கட்டுரையின் ஆரம்பத்தில் கூறியது போல, நீங்கள் tcpdump தொடரியல் இல் வடிப்பான்களைச் சேர்க்கலாம். இப்போது அவற்றில் மிகவும் பிரபலமானவை கருதப்படும்:

மேலே உள்ள அனைத்து வடிப்பான்களும் ஒருவருக்கொருவர் இணைக்கப்படலாம், எனவே கட்டளையை வெளியிடுவதில் நீங்கள் பார்க்க விரும்பும் தகவல்களை மட்டுமே காண்பீர்கள். மேலே உள்ள வடிப்பான்களின் பயன்பாட்டை இன்னும் விரிவாக புரிந்து கொள்ள, எடுத்துக்காட்டுகளை வழங்குவது மதிப்பு.

மேலும் காண்க: லினக்ஸ் டெர்மினலில் அடிக்கடி பயன்படுத்தப்படும் கட்டளைகள்

பயன்பாட்டு எடுத்துக்காட்டுகள்

Tcpdump கட்டளைக்கு அடிக்கடி பயன்படுத்தப்படும் தொடரியல் விருப்பங்கள் இப்போது காண்பிக்கப்படும். அவற்றின் மாறுபாடுகளின் எண்ணற்ற எண்ணிக்கையில் இருக்கக்கூடும் என்பதால் அவை அனைத்தையும் பட்டியலிட முடியாது.

இடைமுகங்களின் பட்டியலைக் காண்க

ஒவ்வொரு பயனரும் ஆரம்பத்தில் கண்காணிக்கக்கூடிய அனைத்து பிணைய இடைமுகங்களின் பட்டியலையும் சரிபார்க்க பரிந்துரைக்கப்படுகிறது. இதற்கு நீங்கள் விருப்பத்தைப் பயன்படுத்த வேண்டும் என்பது மேலே உள்ள அட்டவணையில் இருந்து எங்களுக்குத் தெரியும் -டி, எனவே முனையத்தில், பின்வரும் கட்டளையை இயக்கவும்:

sudo tcpdump -D

ஒரு எடுத்துக்காட்டு:

நீங்கள் பார்க்க முடியும் என, எடுத்துக்காட்டில் எட்டு இடைமுகங்கள் உள்ளன, அவை tcpdump கட்டளையைப் பயன்படுத்தி பார்க்கலாம். கட்டுரை எடுத்துக்காட்டுகளை வழங்கும் ppp0நீங்கள் வேறு எதையும் பயன்படுத்தலாம்.

சாதாரண போக்குவரத்து பிடிப்பு

நீங்கள் ஒரு பிணைய இடைமுகத்தைக் கண்காணிக்க வேண்டும் என்றால், விருப்பத்தைப் பயன்படுத்தி இதைச் செய்யலாம் -ஐ. இடைமுகத்தின் பெயரை உள்ளிட்டு அதை உள்ளிட மறக்காதீர்கள். அத்தகைய கட்டளையின் உதாரணம் இங்கே:

sudo tcpdump -i ppp0

தயவுசெய்து கவனிக்கவும்: கட்டளைக்கு முன் நீங்கள் "சூடோ" ஐ உள்ளிட வேண்டும், ஏனெனில் அதற்கு சூப்பர் யூசர் உரிமைகள் தேவை.

ஒரு எடுத்துக்காட்டு:

குறிப்பு: "டெர்மினலில்" Enter ஐ அழுத்திய பின், இடைமறிக்கப்பட்ட பாக்கெட்டுகள் தொடர்ந்து காண்பிக்கப்படும். அவற்றின் ஓட்டத்தை நிறுத்த, நீங்கள் Ctrl + C என்ற முக்கிய கலவையை அழுத்த வேண்டும்.

கூடுதல் விருப்பங்கள் மற்றும் வடிப்பான்கள் இல்லாமல் கட்டளையை இயக்கினால், கண்காணிக்கப்பட்ட பாக்கெட்டுகளைக் காண்பிப்பதற்கான பின்வரும் வடிவமைப்பைக் காண்பீர்கள்:

22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: கொடிகள் [P.], seq 1: 595, ack 1118, win 6494, options [nop, nop, TS val 257060077 ecr 697597623], நீளம் 594

வண்ணம் சிறப்பிக்கப்பட்ட இடத்தில்:

• நீலம் - பாக்கெட் பெறும் நேரம்;
• ஆரஞ்சு - நெறிமுறை பதிப்பு;
• பச்சை - அனுப்புநர் முகவரி;
• வயலட் - பெறுநரின் முகவரி;
• சாம்பல் - tcp பற்றிய கூடுதல் தகவல்;
• சிவப்பு - பாக்கெட் அளவு (பைட்டுகளில் காட்டப்படும்).

இந்த தொடரியல் ஒரு சாளரத்தில் காண்பிக்கும் திறனைக் கொண்டுள்ளது. "முனையம்" கூடுதல் விருப்பங்களைப் பயன்படுத்தாமல்.

-V விருப்பத்துடன் போக்குவரத்து பிடிப்பு

அட்டவணையில் இருந்து அறியப்பட்டபடி, விருப்பம் -வி தகவலின் அளவை அதிகரிக்க உங்களை அனுமதிக்கிறது. ஒரு உதாரணம் எடுத்துக் கொள்வோம். அதே இடைமுகத்தை சரிபார்க்கவும்:

sudo tcpdump -v -i ppp0

ஒரு எடுத்துக்காட்டு:

வெளியீட்டில் பின்வரும் வரி தோன்றியதை இங்கே காணலாம்:

ஐபி (டோஸ் 0x0, டிடிஎல் 58, ஐடி 30675, ஆஃப்செட் 0, கொடிகள் [டிஎஃப்], புரோட்டோ டிசிபி (6), நீளம் 52

வண்ணம் சிறப்பிக்கப்பட்ட இடத்தில்:

• ஆரஞ்சு - நெறிமுறை பதிப்பு;
• நீலம் - நெறிமுறை ஆயுட்காலம்;
• பச்சை - புல தலைப்பின் நீளம்;
• ஊதா - tcp தொகுப்பு பதிப்பு;
• சிவப்பு - பாக்கெட் அளவு.

கட்டளை தொடரியல் நீங்கள் ஒரு விருப்பத்தை எழுத முடியும் -vv அல்லது -vvv, இது திரையில் காண்பிக்கப்படும் தகவலின் அளவை மேலும் அதிகரிக்கும்.

விருப்பம் -w மற்றும் -r

விருப்பங்கள் அட்டவணையில் அனைத்து வெளியீட்டையும் ஒரு தனி கோப்பில் சேமிக்கும் திறனைக் குறிப்பிட்டுள்ளது, இதன் மூலம் நீங்கள் பின்னர் பார்க்க முடியும். விருப்பம் இதற்கு பொறுப்பு. -w. இதைப் பயன்படுத்துவது மிகவும் எளிது, அதை கட்டளையில் குறிப்பிடவும், பின்னர் எதிர்கால கோப்பின் பெயரை நீட்டிப்புடன் உள்ளிடவும் ".pcap". ஒரு உதாரணத்தைப் பார்ப்போம்:

sudo tcpdump -i ppp0 -w file.pcap

ஒரு எடுத்துக்காட்டு:

தயவுசெய்து கவனிக்கவும்: ஒரு கோப்பில் பதிவுகள் எழுதும்போது, ​​"டெர்மினல்" திரையில் எந்த உரையும் காட்டப்படாது.

நீங்கள் பதிவுசெய்த வெளியீட்டைக் காண விரும்பினால், நீங்கள் விருப்பத்தைப் பயன்படுத்த வேண்டும் -ஆர், அதன் பிறகு முன்னர் பதிவுசெய்யப்பட்ட கோப்பின் பெயரை எழுதுங்கள். இது பிற விருப்பங்கள் மற்றும் வடிப்பான்கள் இல்லாமல் பயன்படுத்தப்படுகிறது:

sudo tcpdump -r file.pcap

ஒரு எடுத்துக்காட்டு:

பிற்கால பாகுபடுத்தலுக்காக நீங்கள் அதிக அளவு உரையைச் சேமிக்க வேண்டிய சந்தர்ப்பங்களில் இந்த இரண்டு விருப்பங்களும் சிறந்தவை.

ஐபி வடிகட்டுதல்

வடிகட்டி அட்டவணையில் இருந்து நமக்கு அது தெரியும் dst கட்டளை தொடரியல் குறிப்பிடப்பட்டுள்ள முகவரியால் பெறப்பட்ட பாக்கெட்டுகளை மட்டுமே கன்சோல் திரையில் காண்பிக்க உங்களை அனுமதிக்கிறது. எனவே, உங்கள் கணினியால் பெறப்பட்ட பாக்கெட்டுகளைப் பார்ப்பது மிகவும் வசதியானது. இதைச் செய்ய, குழு அதன் ஐபி முகவரியை மட்டுமே குறிப்பிட வேண்டும்:

sudo tcpdump -i ppp0 ip dst 10.0.6.67

ஒரு எடுத்துக்காட்டு:

நீங்கள் பார்க்க முடியும் என, தவிர dst, நாங்கள் ஒரு வடிப்பானையும் அணியில் பதிவு செய்துள்ளோம் ip. வேறு வார்த்தைகளில் கூறுவதானால், பாக்கெட்டுகளைத் தேர்ந்தெடுக்கும்போது அது அவர்களின் ஐபி முகவரிக்கு கவனம் செலுத்தும், மற்ற அளவுருக்களுக்கு அல்ல என்று கணினியிடம் சொன்னோம்.

ஐபி மூலம், நீங்கள் வெளிச்செல்லும் பாக்கெட்டுகளையும் வடிகட்டலாம். எடுத்துக்காட்டில் மீண்டும் எங்கள் ஐபி கொடுப்போம். அதாவது, எங்கள் கணினியிலிருந்து மற்ற முகவரிகளுக்கு எந்த பாக்கெட்டுகள் அனுப்பப்படுகின்றன என்பதை இப்போது கண்காணிப்போம். இதைச் செய்ய, பின்வரும் கட்டளையை இயக்கவும்:

sudo tcpdump -i ppp0 ip src 10.0.6.67

ஒரு எடுத்துக்காட்டு:

நீங்கள் பார்க்க முடியும் என, கட்டளை தொடரியல் நாம் வடிப்பான் மாற்ற dst ஆன் src, இதன் மூலம் ஐபி வழியாக அனுப்புநரைத் தேட இயந்திரத்தைச் சொல்கிறது.

HOST வடிகட்டுதல்

கட்டளையில் ஐபியுடன் ஒப்புமை செய்வதன் மூலம், ஒரு வடிப்பானைக் குறிப்பிடலாம் ஹோஸ்ட்ஆர்வமுள்ள ஹோஸ்டுடன் பாக்கெட்டுகளை வடிகட்ட. அதாவது, தொடரியல், அனுப்புநர் / பெறுநரின் ஐபி முகவரிக்கு பதிலாக, நீங்கள் அதன் ஹோஸ்டைக் குறிப்பிட வேண்டும். இது போல் தெரிகிறது:

sudo tcpdump -i ppp0 dst ஹோஸ்ட் google-public-dns-a.google.com

ஒரு எடுத்துக்காட்டு:

படத்தில் நீங்கள் அதை பார்க்க முடியும் "முனையம்" எங்கள் ஐபியிலிருந்து google.com ஹோஸ்டுக்கு அனுப்பப்பட்ட பாக்கெட்டுகள் மட்டுமே காண்பிக்கப்படும். நீங்கள் புரிந்து கொள்ளக்கூடியபடி, google ஹோஸ்டுக்கு பதிலாக, நீங்கள் வேறு எதையும் உள்ளிடலாம்.

ஐபி வடிகட்டலைப் போலவே, தொடரியல் dst ஆல் மாற்றலாம் srcஉங்கள் கணினிக்கு அனுப்பப்படும் தொகுப்புகளைக் காண:

sudo tcpdump -i ppp0 src ஹோஸ்ட் google-public-dns-a.google.com

குறிப்பு: ஹோஸ்ட் வடிப்பான் dst அல்லது src க்குப் பிறகு இருக்க வேண்டும், இல்லையெனில் கட்டளை ஒரு பிழையை எறியும். ஐபி மூலம் வடிகட்டுதல் விஷயத்தில், மாறாக, டிஎஸ்டி மற்றும் எஸ்ஆர்சி ஆகியவை ஐபி வடிப்பானுக்கு முன்னால் உள்ளன.

மற்றும் மற்றும் அல்லது வடிகட்டியைப் பயன்படுத்துதல்

ஒரே கட்டளையில் ஒரே நேரத்தில் பல வடிப்பான்களைப் பயன்படுத்த வேண்டுமானால், நீங்கள் ஒரு வடிப்பானைப் பயன்படுத்த வேண்டும் மற்றும் அல்லது அல்லது (வழக்கைப் பொறுத்தது). தொடரியல் வடிப்பான்களைக் குறிப்பிடுவதன் மூலமும், அவற்றை இந்த ஆபரேட்டர்களுடன் பிரிப்பதன் மூலமும், அவற்றை ஒன்றாகச் செயல்படுத்துவீர்கள். உதாரணமாக, இது போல் தெரிகிறது:

sudo tcpdump -i ppp0 ip dst 95.47.144.254 அல்லது ip src 95.47.144.254

ஒரு எடுத்துக்காட்டு:

கட்டளை தொடரியல் நாம் காட்ட விரும்புவதைக் காட்டுகிறது "முனையம்" 95.47.144.254 முகவரிக்கு அனுப்பப்பட்ட அனைத்து பாக்கெட்டுகள் மற்றும் ஒரே முகவரியால் பெறப்பட்ட பாக்கெட்டுகள். இந்த வெளிப்பாட்டில் நீங்கள் சில மாறிகள் மாற்றலாம். எடுத்துக்காட்டாக, IP க்கு பதிலாக, HOST ஐக் குறிப்பிடவும் அல்லது முகவரிகளை நேரடியாக மாற்றவும்.

வடிப்பானை போர்ட் மற்றும் சித்தரிக்கவும்

வடிகட்டி போர்ட் ஒரு குறிப்பிட்ட துறைமுகத்துடன் தொகுப்புகளைப் பற்றிய தகவல்களைப் பெற வேண்டிய சந்தர்ப்பங்களில் சரியானது. எனவே, நீங்கள் பதில்கள் அல்லது டிஎன்எஸ் வினவல்களை மட்டுமே பார்க்க வேண்டும் என்றால், நீங்கள் போர்ட் 53 ஐ குறிப்பிட வேண்டும்:

sudo tcpdump -vv -i ppp0 போர்ட் 53

ஒரு எடுத்துக்காட்டு:

நீங்கள் http பாக்கெட்டுகளைக் காண விரும்பினால், நீங்கள் போர்ட் 80 ஐ உள்ளிட வேண்டும்:

sudo tcpdump -vv -i ppp0 போர்ட் 80

ஒரு எடுத்துக்காட்டு:

மற்றவற்றுடன், துறைமுகங்களின் வரம்பை உடனடியாகக் கண்காணிக்க முடியும். இதற்கு வடிகட்டி பயன்படுத்தப்படுகிறது. portrange:

sudo tcpdump portrange 50-80

நீங்கள் பார்க்க முடியும் என, வடிகட்டியுடன் இணைந்து portrange விருப்ப விருப்பங்கள் தேவை. வரம்பை அமைக்கவும்.

நெறிமுறை வடிகட்டுதல்

எந்தவொரு நெறிமுறையுடனும் பொருந்தக்கூடிய போக்குவரத்தை மட்டுமே நீங்கள் காண்பிக்க முடியும். இதைச் செய்ய, இந்த நெறிமுறையின் பெயரை வடிப்பானாகப் பயன்படுத்தவும். ஒரு உதாரணத்தைப் பார்ப்போம் udp:

sudo tcpdump -vvv -i ppp0 udp

ஒரு எடுத்துக்காட்டு:

இன் கட்டளையை இயக்கிய பிறகு, படத்தில் நீங்கள் காண முடியும் "முனையம்" நெறிமுறை கொண்ட பாக்கெட்டுகள் மட்டுமே காட்டப்பட்டன udp. அதன்படி, நீங்கள் மற்றவர்களால் வடிகட்டலாம், எடுத்துக்காட்டாக, arp:

sudo tcpdump -vvv -i ppp0 arp

அல்லது tcp:

sudo tcpdump -vvv -i ppp0 tcp

நிகர வடிகட்டி

ஆபரேட்டர் நிகர பாக்கெட்டுகளை அவற்றின் பிணைய பெயரின் அடிப்படையில் வடிகட்ட உதவுகிறது. அதைப் பயன்படுத்துவது மீதமுள்ளதைப் போன்றது - நீங்கள் தொடரியல் ஒரு பண்புக்கூறு குறிப்பிட வேண்டும் நிகர, பின்னர் பிணைய முகவரியை உள்ளிடவும். அத்தகைய கட்டளையின் உதாரணம் இங்கே:

sudo tcpdump -i ppp0 நிகர 192.168.1.1

ஒரு எடுத்துக்காட்டு:

பாக்கெட் அளவு வடிகட்டுதல்

இன்னும் இரண்டு சுவாரஸ்யமான வடிப்பான்களை நாங்கள் கருதவில்லை: குறைவாக மற்றும் அதிகமானது. வடிப்பான்களைக் கொண்ட அட்டவணையில் இருந்து, அவை தரவு பாக்கெட்டுகளை அதிகமாக வெளியிடுவதற்கு உதவுகின்றன என்பதை நாங்கள் அறிவோம் (குறைவாக) அல்லது குறைவாக (அதிகமானது) பண்புக்கூறு உள்ளிட்ட பிறகு குறிப்பிடப்பட்ட அளவு.

50-பிட் குறிக்கு மேல் இல்லாத பாக்கெட்டுகளை மட்டுமே கண்காணிக்க விரும்புகிறோம் என்று வைத்துக்கொள்வோம், பின்னர் கட்டளை இப்படி இருக்கும்:

sudo tcpdump -i ppp0 குறைவாக 50

ஒரு எடுத்துக்காட்டு:

இப்போது உள்ளே காண்பிப்போம் "முனையம்" 50 பிட்களை விட பெரிய பாக்கெட்டுகள்:

sudo tcpdump -i ppp0 அதிக 50

ஒரு எடுத்துக்காட்டு:

நீங்கள் பார்க்க முடியும் என, அவை அதே வழியில் பயன்படுத்தப்படுகின்றன, ஒரே வித்தியாசம் வடிகட்டியின் பெயரில் உள்ளது.

முடிவு

கட்டுரையின் முடிவில், குழு என்று நாம் முடிவு செய்யலாம் tcpdump - இது ஒரு சிறந்த கருவியாகும், இதன் மூலம் இணையத்தில் பரவும் எந்த தரவு பாக்கெட்டையும் கண்காணிக்க முடியும். ஆனால் இதற்காக கட்டளையை உள்ளிடுவது மட்டும் போதாது "முனையம்". நீங்கள் அனைத்து வகையான விருப்பங்களையும் வடிப்பான்களையும், அவற்றின் சேர்க்கைகளையும் பயன்படுத்தினால் மட்டுமே விரும்பிய முடிவு கிடைக்கும்.