Ebben az útmutatóban bemutatjuk, hogyan kell telepíteni a tcpdump-ot Linux rendszerre, és hogyan lehet rögzíteni és elemezni a TCP/IP-csomagokat a tcpdump segítségével.
A Tcpdump telepítése
A Tcpdump számos Linux disztribúción előre telepítve van. De ha még nincs telepítve a rendszerére, telepítheti a tcpdump-ot a Linux rendszerére. A tcpdump Ubuntu 22.04 rendszerre történő telepítéséhez használja a következő parancsot:
$ sudo apt install tcpdump
A tcpdump Fedora/CentOS rendszerre történő telepítéséhez használja a következő parancsot:
$ sudo dnf install tcpdump
A csomagok rögzítése a Tcpdump paranccsal
A csomagok tcpdump segítségével történő rögzítéséhez indítsa el a terminált sudo jogosultságokkal a „Ctrl+Alt+t” használatával. Ez az eszköz különböző lehetőségeket és szűrőket tartalmaz a TCP/IP-csomagok rögzítéséhez. Ha az aktuális vagy alapértelmezett hálózati interfész összes áramló csomagját rögzíteni szeretné, használja a „tcpdump” parancsot opciók nélkül.
$ sudo tcpdump
Az adott parancs rögzíti a rendszer alapértelmezett hálózati interfészének csomagjait.
A parancs végrehajtásának végén az összes rögzített és szűrt csomagszám megjelenik a terminálon.
Értsük meg a kimenetet.
A Tcpdump lehetővé teszi a TCP/IP csomagfejlécek elemzését. Minden csomaghoz egyetlen sort mutat, és a parancs addig fut, amíg le nem nyomja a „Ctrl+C” gombot a leállításhoz.
A tcpdump által biztosított minden sor a következő részleteket tartalmazza:
- Unix időbélyeg (pl. 02:28:57.839523)
- Protokoll (IP)
- Forrás gazdagépneve vagy IP-címe és portszáma
- Cél hosztnév vagy IP-cím és portszám
- TCP-jelzők (pl. Flags [F.]), amelyek a kapcsolat állapotát jelzik olyan értékekkel, mint az S (SYN), F (FIN),. (ACK), P (PUSH), R (RST)
- A csomagban lévő adatok sorszáma (pl. 5829:6820 sorozat)
- Nyugtázási szám (pl. ack 1016)
- Ablakméret (pl. win 65535), amely a fogadó pufferben elérhető bájtokat jelenti, majd a TCP beállítások
- Az adathordozó hossza (pl. 991 hossz)
A rendszer összes hálózati interfészének listázásához használja a „tcpdump” parancsot a „-D” kapcsolóval.
$ sudo tcpdump -Dvagy
$ tcpdump --list-interfacesEz a parancs felsorolja az összes hálózati interfészt, amely csatlakoztatva van vagy fut a Linux rendszeren.
Rögzítse a megadott hálózati interfész csomagjait
Ha egy adott interfészen átmenő TCP/IP-csomagokat szeretné rögzíteni, használja az „-i” jelzőt a „tcpdump” paranccsal, és adja meg a hálózati interfész nevét.
$ sudo tcpdump -i lo
Az adott parancs rögzíti a forgalmat a „lo” felületen. Ha részletes vagy részletes információkat szeretne megjeleníteni a csomagról, használja a „-v” jelzőt. Átfogóbb részletek kinyomtatásához használja a „-vv” jelzőt a „tcpdump” paranccsal. A rendszeres használat és elemzés hozzájárul a robusztus és biztonságos hálózati környezet fenntartásához.
Hasonlóképpen rögzítheti a forgalmat bármely felületen a következő paranccsal:
$ sudo tcpdump -i any
Rögzítse a csomagokat egy adott port használatával
Az interfész nevének és portszámának megadásával rögzítheti és szűrheti a csomagokat. Például a 22-es porton keresztül az „enp0s3” interfészen átmenő hálózati csomagok rögzítéséhez használja a következő parancsot:
$ tcpdump -i enp0s3 22-es portAz előző parancs rögzíti az összes folyó csomagot az „enp0s3” felületről.
Rögzítse a korlátozott csomagokat a Tcpdump segítségével
A „-c” jelzőt a „tcpdump” paranccsal együtt használhatja meghatározott számú csomag rögzítéséhez. Például négy csomag rögzítéséhez az „enp0s3” felületen használja a következő parancsot:
$ tcpdump -i enp0s3 -c 4
Cserélje ki az interfész nevét a rendszer használatával.
Hasznos Tcpdump parancsok a hálózati forgalom rögzítéséhez
A következőkben felsorolunk néhány hasznos „tcpdump” parancsot, amelyek segítenek a hálózati forgalom vagy csomagok hatékony rögzítésében és szűrésében:
A „tcpdump” paranccsal rögzítheti egy meghatározott cél-IP-vel vagy forrás-IP-vel rendelkező interfész csomagjait.
$ tcpdump -i {interfész-név} dst {cél-ip}A csomagokat 65535 bájtos pillanatfelvétel-mérettel rögzítheti, amely eltér az alapértelmezett 262144 bájtos mérettől. A tcpdump régebbi verzióiban a rögzítési méret 68 vagy 96 bájtra volt korlátozva.
$ tcpdump -i enp0s3 -s 65535
A rögzített csomagok fájlba mentése
Ha a rögzített adatokat fájlba szeretné menteni további elemzés céljából, megteheti. Rögzíti a forgalmat egy megadott felületen, majd elmenti egy „.pcap” fájlba. A következő paranccsal tárolhatja a rögzített adatokat egy fájlban:
$ tcpdump -iPéldául van egy „enps03” felületünk. Mentse el ezeket a rögzített adatokat a következő fájlba:
$ sudo tcpdump -i enps03 -w dump.pcapA jövőben elolvashatja ezt a rögzített fájlt a Wireshark vagy más hálózati elemző eszközök segítségével. Tehát, ha a Wiresharkot szeretné használni a csomagok elemzéséhez, használja a „-w” argumentumot, és mentse el egy „.pcap” fájlba.
Következtetés
Ebben az oktatóanyagban különböző példák segítségével bemutattuk, hogyan lehet rögzíteni és elemezni a csomagokat a tcpdump segítségével. Azt is megtanultuk, hogyan menthetjük el a rögzített forgalmat egy „.pcap” fájlba, amelyet megtekinthet és elemezhet a Wireshark és más hálózati elemző eszközök segítségével.