Робота з TCPDump
Ця утиліта є корисним інструментом для перехоплення та збору пакетів, що приходять на сервер та йдуть з нього.
Установка TCPDump
Для Ubuntu/Debian:
Для Red Hat / CentOS:
Аргументи для команди
Використання
Щоб не засмічувати наш дамп зайвими пакетами, слід вибрати конкретний інтерфейс, з якого ми хочемо збирати інформацію, а не всі. Ви можете переглянути список усіх інтерфейсів, використовуючи цю команду:
Щоб відобразити журнали нашого мережевого інтерфейсу в режимі реального часу, використовуйте команду:
Не забувайте, що TCPDump вимагає прав root, тому слід виконувати ці команди від імені root або використовуючи sudo
.
Після використання команди ми побачимо багато рядків, що біжать, для зупинки дампа використовуйте комбінацію клавіш Ctrl + C.
Спробуйте побачити більше інформації про пакети, використовуючи аргумент -v
:
Аргументи для фільтрації
Не менш потужною особливістю є додатковий аргумент, який дозволяє фільтрувати різні типи пакетів за такими параметрами:
Наприклад, ми можемо переглянути всі пакети, які йдуть з нашого сервера до кінцевої адреси:
Навпаки, всі пакети, що надсилаються на наш сервер із джерела підмережі (ви також можете використовувати конкретну IP-адресу, як у прикладі вище):
Ви можете використовувати аргументи для знаходження пакетів потрібного розміру:
Припустимо, у вас є кілька серверів Garry's Mod на різних портах, і ви хочете перевірити, чи не піддаються вони зараз атаці DDoS. Для цього підійде команда:
Зверніть увагу на зазначений діапазон портів.
Опція -w
дозволяє зберегти дамп у файл garrysmod.dump
.
Розширені оператори
Крім того, TCPDump має оператори для створення різних комбінацій аргументів.
Припустимо, ми хочемо вивести весь трафік запитів MySQL, які надсилає 192.168.1.1
на порт 3306
(до будь-яких адрес):
Завершення
Дякуємо за ознайомлення! Ми детально розглянули TCPDump, який є дуже корисним інструментом, що є невід'ємною частиною роботи мережевих інженерів, а також обов'язково стане в нагоді звичайним користувачам.
Ви можете використовувати програму для читання пакетів на Windows за допомогою WireShark.
Last updated