Tcpdump ialah alat analisis rangkaian yang berkuasa, digunakan terutamanya untuk analisis trafik rangkaian dalam sistem Linux dan macOS. Pentadbir rangkaian boleh menangkap dan menganalisis trafik rangkaian melalui tcpdump untuk menjalankan sniffing rangkaian dan memantau paket TCP/IP. Ia bergantung pada perpustakaan yang dipanggil "libpcap" untuk menangkap trafik rangkaian dengan cekap. Selain membantu pentadbir rangkaian mengenal pasti masalah rangkaian dan menyelesaikan masalah, tcpdump juga membantu memantau aktiviti rangkaian secara tetap dan menyemak keselamatan rangkaian. Data yang ditangkap disimpan dalam fail yang dipanggil "pcap", yang kemudiannya boleh dianalisis dengan lebih lanjut menggunakan alat analisis paket TCP/IP (seperti Wireshark) atau alat baris arahan lain untuk mendapatkan cerapan tentang trafik rangkaian dan komunikasi rangkaian.
Dalam panduan ini, kami akan menunjukkan cara memasang TCPDUMP pada sistem Linux dan cara menggunakan TCPDUMP untuk menangkap dan menganalisis paket TCP/IP.
Banyak pengedaran Linux disertakan dengan tcpdump yang diprapasang. Jika tcpdump belum dipasang pada sistem anda, anda boleh memasangnya dengan mudah pada sistem Linux anda. Dalam sistem Ubuntu 22.04, anda boleh memasang tcpdump menggunakan arahan mudah.
$sudo apt pasang tcpump
Untuk memasang tcpump pada Fedora/CentOS, gunakan arahan berikut:
$sudo DNF pasang tcpump
Untuk melancarkan terminal dan menjalankan tcpdump dengan keistimewaan sudo untuk menangkap paket, tekan "Ctrl + Alt + t" untuk membuka terminal. tcpdump ialah alat berkuasa yang menyediakan banyak pilihan dan penapis untuk menangkap paket TCP/IP. Jika anda ingin menangkap semua paket trafik pada antara muka rangkaian semasa atau lalai, hanya gunakan arahan "tcpdump" yang mudah tanpa sebarang pilihan tambahan. Dengan cara ini anda boleh memantau trafik rangkaian dan menganalisis kandungan dan asal paket. Ingat untuk mengendalikan paket yang ditangkap dengan berhati-hati apabila menggunakan tcpdump untuk mengelak daripada mendedahkan maklumat sensitif atau melanggar privasi.
tcpdump
Arahan yang diberikan menangkap paket daripada antara muka rangkaian lalai sistem.
Pada penghujung pelaksanaan arahan ini, semua kiraan paket yang ditangkap dan ditapis akan dipaparkan pada terminal.
Mari kita fahami outputnya.
Tcpdump menyokong analisis pengepala paket TCP/IP. Ia memaparkan satu baris untuk setiap paket dan arahan akan terus dijalankan sehingga anda menekan "Ctrl + C" untuk menghentikannya.
Setiap talian yang disediakan oleh tcpdump mengandungi butiran berikut:
Untuk menyenaraikan semua antara muka rangkaian yang disenaraikan pada sistem anda, gunakan arahan "tcpump" dengan pilihan "-D".
$sudo tcpump -D
atau
$tcpdump——senarai—gangguan
Arahan ini menyenaraikan semua antara muka rangkaian yang disambungkan atau berjalan pada sistem Linux anda.
Jika anda ingin menangkap paket TCP/IP yang melalui antara muka tertentu, gunakan bendera "-i" dengan arahan "tcpdump" dan nyatakan nama antara muka rangkaian.
$sudo tcpdump—saya tahu
Arahan yang diberikan menangkap trafik pada antara muka "lo". Jika anda ingin memaparkan butiran paket, gunakan bendera "-v". Untuk mencetak butiran yang lebih komprehensif, gunakan bendera "-vv" dengan arahan "tcpdump". Penggunaan dan analisis yang kerap membantu mengekalkan persekitaran rangkaian yang kukuh dan selamat.
Begitu juga, anda boleh menangkap trafik dari mana-mana antara muka menggunakan arahan berikut:
$sudo tcpump -i any
Anda boleh menangkap dan menapis paket dengan menyatakan nama antara muka dan nombor port. Contohnya, untuk menangkap paket rangkaian yang melalui antara muka "enp0s3" menggunakan port 22, gunakan arahan berikut:
$tcpdump—saya enp0s3 port 22
Arahan sebelumnya menangkap semua paket yang mengalir daripada antara muka "enp0s3".
Anda boleh menggunakan bendera "-c" dengan arahan "tcpdump" untuk menangkap bilangan paket yang ditentukan. Contohnya, untuk menangkap empat paket pada antara muka "enp0s3", gunakan arahan berikut:
$tcpdump—i enp0s3—c 4
Ganti nama antara muka dengan nama sistem anda.
Di bawah, kami telah menyenaraikan beberapa arahan "tcpump" berguna yang akan membantu anda menangkap dan menapis trafik rangkaian atau paket dengan cekap:
Menggunakan arahan "tcpump" anda boleh menangkap paket untuk antara muka dengan IP destinasi yang ditetapkan atau IP sumber.
$tcpdump—i {interface—name} dst {destination—ip}
Anda boleh menangkap paket dengan saiz syot kilat 65535 bait, yang berbeza daripada saiz lalai 262144 bait. Dalam versi lama tcpdump, saiz tangkapan dihadkan kepada 68 atau 96 bait.
$tcpdump—saya enp0s3—s 65535
Jika anda ingin menyimpan data yang ditangkap ke dalam fail untuk analisis lanjut, anda boleh berbuat demikian. Jika ia menangkap trafik antara muka yang ditentukan, kemudian simpannya ke dalam "fail .pcap." Simpan data yang ditangkap ke dalam fail menggunakan arahan berikut:
$tcpdump—i—s 65535—w
Sebagai contoh, kami mempunyai antara muka "enps03". Simpan data yang ditangkap ini ke fail berikut:$sudo tcpdump—saya enps03—w buang pcap
Pada masa hadapan, anda boleh menggunakan Wireshark atau alat analisis rangkaian lain untuk membaca fail yang ditangkap ini. Oleh itu, jika anda ingin menggunakan Wireshark untuk menganalisis paket, gunakan parameter "-w" dan simpannya ke fail ".pcap".
Atas ialah kandungan terperinci Cara Tcpdump menangkap dan menganalisis paket. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!