В этой статье мы покажем вам, как установить tcpdump, а затем мы обсудим и рассмотрим некоторые полезные команды с их практическими примерами. Вы увидите, что пользоваться этой функцией очень просто.
- Как пользоваться TCPDUMP
- Как установить tcpdump в Linux
- Команды для TCPDUMP
- 1. Захват пакетов с определенного интерфейса
- 2. Захватить только N Количество пакетов
- 3. Печать захваченных пакетов в ASCII
- 4. Отображение доступных интерфейсов
- 5. Отображение захваченных пакетов в HEX и ASCII
- 7. Прочтите файл с захваченными пакетами
- 8. Захват пакетов IP-адресов.
- 9. Захват только TCP-пакетов.
- 10. Захват пакета из определенного порта
- 11. Захват пакетов с исходного IP-адреса
- 12. Захват пакетов с IP-адреса назначения
Как пользоваться TCPDUMP
tcpdump — это самый мощный и широко используемый анализатор пакетов или анализатор пакетов, который используется для захвата или фильтрации пакетов TCP / IP, которые были получены или переданы по сети на определенном интерфейсе. Он доступен в большинстве операционных систем на базе Linux / Unix. tcpdump также дает нам возможность сохранять захваченные пакеты в файле для последующего анализа.
Он сохраняет файл в формате pcap, который можно просмотреть командой tcpdump или инструментом с открытым исходным кодом на основе GUI, называемым Wireshark (Network Protocol Analyzier), который считывает файлы формата tcappump pcap. Прежде чем разобрать основные команды и понять как пользоваться TCPDUMP, нам нужно установить эту функцию.
Как установить tcpdump в Linux
Многие дистрибутивы Linux уже поставляются с инструментом tcpdump, если в случае, если у вас его нет в системах, вы можете установить его с помощью следующей команды Yum.
# yum install tcpdump
Как только инструмент tcpdump установлен в системах, вы можете продолжить просмотр следующих команд с помощью своих примеров.
Команды для TCPDUMP
После установки давайте поговорим непосредственно про команды. Мы разберем только основные, которых должно хватить практически для любых операций с командной строкой. Если у вас возникнут какие-то вопросы по поводу некоторых команд, мы с радостью объясним вам более детально в комментариях.
Теперь давайте перейдем к основам того, как пользоваться TCPDUMP.
1. Захват пакетов с определенного интерфейса
Экран команды будет прокручиваться до тех пор, пока вы не остановите его, и когда мы выполним команду tcpdump, он будет захватываться со всех интерфейсов, однако с -i переключить только из определенного программного интерфейса.
# tcpdump -i eth0
2. Захватить только N Количество пакетов
Когда вы запустите команду tcpdump, она будет захватывать все пакеты для указанного интерфейса, пока вы не нажмете кнопку отмены. Но с использованием опции -c вы можете захватить определенное количество пакетов. В приведенном ниже примере будут отображены только 6 пакетов.
# tcpdump -c 5 -i eth0
3. Печать захваченных пакетов в ASCII
Следующая команда tcpdump с параметром -A отображает пакет в формате ASCII. Это формат схемы кодирования символов.
# tcpdump -A -i eth0
4. Отображение доступных интерфейсов
Чтобы просмотреть список доступных интерфейсов в системе, выполните следующую команду с опцией -D.
# tcpdump -D
5. Отображение захваченных пакетов в HEX и ASCII
Следующая команда с опцией -XX захватывает данные каждого пакета, включая заголовок уровня канала в формате HEX и ASCII.
# tcpdump -XX -i eth0
6. Захват и сохранение пакетов в файле
Как мы уже говорили, у tcpdump есть функция для записи и сохранения файла в формате .pcap, для этого просто выполните команду с параметром -w.
# tcpdump -w 0001.pcap -i eth0
7. Прочтите файл с захваченными пакетами
Для чтения и анализа файла захваченного пакета 0001.pcap используйте команду с параметром -r, как показано ниже.
# tcpdump -r 0001.pcap
8. Захват пакетов IP-адресов.
Чтобы захватить пакеты для определенного интерфейса, выполните следующую команду с опцией -n.
# tcpdump -n -i eth0
9. Захват только TCP-пакетов.
Чтобы захватить пакеты на основе TCP-порта, запустите следующую команду с параметром tcp.
# tcpdump -i eth0 tcp
10. Захват пакета из определенного порта
Предположим, вы хотите захватить пакеты для определенного порта 22, выполните следующую команду, указав номер порта 22, как показано ниже.
# tcpdump -i eth0 port 22
11. Захват пакетов с исходного IP-адреса
Чтобы захватить пакеты с исходного IP-адреса, скажем, вы хотите захватить пакеты для 192.168.0.2, используйте следующую команду.
# tcpdump -i eth0 src 192.168.0.2
12. Захват пакетов с IP-адреса назначения
Чтобы захватить пакеты с IP-адреса назначения, скажите, что вы хотите захватить пакеты для 50.116.66.139, используйте следующую команду.
# tcpdump -i eth0 dst 50.116.66.139
Эта статья может помочь вам глубже изучить команду tcpdump, а также собрать и проанализировать пакеты в будущем. Существует множество доступных опций, вы можете использовать параметры в соответствии с вашими требованиями. Пожалуйста, поделитесь мнением, если вы найдете эту статью полезной через наш блок комментариев. Вот мы и разобрали основные команды, как пользоваться TCPDUMP.
Надеемся вы поняли, как пользоваться TCPDUMP. Мы постарались разобрать все основные функции, которые могут пригодится не только новичку но и уверенному пользователю любой операционной системы.
Также, если статья была полезной для вас, то обязательно поделитесь на в социальных сетях Google+, Facebook, Twitter, Одноклассники или ВКонтакте. Давайте развивать наше сообщество вместе!
