GNU/Linux >> Belajar Linux >  >> Linux

6 opsi filter lalu lintas jaringan tcpdump

tcpdump utilitas digunakan untuk menangkap dan menganalisis lalu lintas jaringan. Sysadmin dapat menggunakannya untuk melihat lalu lintas waktu nyata atau menyimpan output ke file dan menganalisisnya nanti. Dalam artikel tiga bagian ini, saya mendemonstrasikan beberapa opsi umum yang mungkin ingin Anda gunakan dalam operasi sehari-hari dengan tcpdump .

Bagian pertama dimulai dengan beberapa trik dasar untuk mengumpulkan informasi tentang antarmuka dan memulai pengambilan gambar.

[ Anda mungkin juga menyukai: Menemukan perangkat jahat di jaringan Anda menggunakan Nmap ]

1. Opsi -D

tcpdump dengan -D menyediakan daftar perangkat dari mana Anda dapat menangkap lalu lintas. Opsi ini mengidentifikasi perangkat apa tcpdump tahu tentang. Setelah Anda melihat daftar ini, Anda dapat memutuskan antarmuka mana yang Anda inginkan untuk menangkap lalu lintas. Ini juga memberi tahu Anda apakah antarmuka dalam keadaan Aktif, Berjalan, dan apakah itu antarmuka Loopback, seperti yang Anda lihat di bawah:

# tcpdump -D

1.tun0 [Up, Running]

2.wlp0s20f3 [Up, Running]

3.lo [Up, Running, Loopback]

4.any (Pseudo-device that captures on all interfaces) [Up, Running]

5.virbr0 [Up]

6.docker0 [Up]

7.enp0s31f6 [Up]

2. Opsi -c X

-c opsi menangkap X jumlah paket dan kemudian berhenti. Jika tidak, tcpdump akan terus berjalan tanpa batas. Jadi, ketika Anda hanya ingin menangkap kumpulan sampel kecil dari paket, Anda dapat menggunakan opsi ini. Namun, jika tidak ada aktivitas pada antarmuka, tcpdump terus menunggu.

# tcpdump -c 5 -i any

dropped privs to tcpdump

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes

16:19:22.128996 ARP, Request who-has _gateway tell 192.168.86.81, length 28

16:19:22.130560 IP 172.217.222.189.https > kkulkarni.58810: Flags [P.], seq 3506342975:3506343029, ack 2537104576, win 377, options [nop,nop,TS val 4137065873 ecr 75405758], length 54

16:19:22.130642 IP kkulkarni.58810 > 172.217.222.189.https: Flags [.], ack 54, win 501, options [nop,nop,TS val 75422756 ecr 4137065873], length 0
16:19:22.131198 IP ovpn-3-80.rdu2.redhat.com.36380 > infoblox-trust01.intranet.prod.int.rdu2.redhat.com.domain: 53320+ PTR? 1.86.168.192.in-addr.arpa. (43)

16:19:22.131395 IP kkulkarni.53013 > ovpn-rdu2-alt.redhat.com.https: UDP, length 95

5 packets captured

49 packets received by filter

37 packets dropped by kernel


3. Opsi -n

Biasanya lebih mudah bekerja jika Anda menggunakan alamat IP daripada nama, seperti kkulkarni.53013 seperti yang ditunjukkan pada keluaran di atas. Anda dapat menggunakan -n untuk ini.

# tcpdump -c 5 -i any -n

dropped privs to tcpdump

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes

16:20:21.523375 IP 172.217.9.206.https > 192.168.86.31.34288: Flags [P.], seq 723352132:723352349, ack 2124268216, win 1059, options [nop,nop,TS val 2934032467 ecr 824781066], length 217

16:20:21.563992 IP 192.168.86.31.34288 > 172.217.9.206.https: Flags [.], ack 217, win 12654, options [nop,nop,TS val 824783221 ecr 2934032467], length 0

16:20:22.956717 IP 192.168.86.83.mdns > 224.0.0.251.mdns: 0 [2q] [1au] PTR (QU)? _companion-link._tcp.local. PTR (QU)? _homekit._tcp.local. (88)
16:20:22.956839 IP 192.168.86.83.mdns > 224.0.0.251.mdns: 0*- [0q] 2/0/3 (Cache flush)

16:20:22.956932 IP6 fe80::2:8c40:fdea:5a16.mdns > ff02::fb.mdns: 0*- [0q] 2/0/3 (Cache flush) PTR local., (Cache flush) PTR local. (214)

5 packets captured

5 packets received by filter

0 packets dropped by kernel


4. Opsi -s

tcpdump dengan -sXXX membantu Anda mengontrol ukuran tangkapan. Pada baris kedua pada output sebelumnya Anda dapat melihatnya mengatakan ukuran tangkapan 262144 byte, yang jauh lebih besar dari paket. Anda dapat menggunakan -s untuk mengubah ukuran tangkapan. Jika Anda hanya ingin memeriksa header paket, maka Anda dapat menggunakan ukuran yang lebih kecil untuk menangkap. Lihat contoh di bawah ini:

# tcpdump -c 5 -i any -n -s64
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 64 bytes
16:24:39.909994 IP 10.22.3.80.46368 > 10.11.200.20.ldap: Flags [.], ack 2583785634, win 502, options [nop,nop,TS[|tcp]>
16:24:39.910118 IP 192.168.86.31.53013 > 66.187.232.72.https: UDP, length 76
16:24:39.981646 IP 192.168.86.111.mdns > 224.0.0.251.mdns: 0 [5a] [28q] [1n] [1au][|domain]
16:24:39.983954 IP 192.168.86.111.mdns > 224.0.0.251.mdns: 0*- [0q] 2/0/1[|domain]
16:24:40.186150 IP 192.168.86.111.mdns > 224.0.0.251.mdns: 0 [1n] [1au][|domain]
5 packets captured
6 packets received by filter
0 packets dropped by kernel

5. Pengambilan port

tcpdump memungkinkan Anda menentukan paket jaringan yang menggunakan beberapa port X sebagai sumber atau tujuan. Misalnya, untuk menangkap lalu lintas DNS, Anda dapat menggunakan port 53 . Anda dapat mengawali port kata kunci dengan src /dst sebagai src port 53 atau dst port 53 dan menyaringnya lebih jauh.

# tcpdump -i any port 53 -n
16:49:58.979410 IP 10.22.3.80.46391 > 10.11.5.19.domain: 31741+ A? youtube.com. (29)
16:49:58.979450 IP 10.22.3.80.46391 > 10.11.5.19.domain: 4579+ AAAA? youtube.com. (29)
16:49:58.985835 IP 10.11.5.19.domain > 10.22.3.80.44202: 8898 NXDomain 0/1/0 (154)
16:49:58.986761 IP 10.22.3.80.38074 > 10.11.5.19.domain: 43241+ PTR? 31.86.168.192.in-addr.arpa. (44)
16:49:59.015164 IP 10.11.5.19.domain > 10.22.3.80.38074: 43241 NXDomain 0/1/0 (122)
16:49:59.015209 IP 10.11.5.19.domain > 10.22.3.80.46391: 4579 1/0/0 AAAA 2607:f8b0:4004:810::200e (57)
16:49:59.015231 IP 10.11.5.19.domain > 10.22.3.80.46391: 31741 1/0/0 A 172.217.15.78 (45)
16:49:59.015831 IP 10.22.3.80.51955 > 10.11.5.19.domain: 2503+ PTR? 1.122.168.192.in-addr.arpa. (44)
16:49:59.041490 IP 10.11.5.19.domain > 10.22.3.80.51955: 2503 NXDomain 0/1/0 (122)

6. Opsi -w

Jika Anda ingin menulis output dari tcpdump ke file, gunakan opsi -w .pcap untuk menulis ke file. Jika Anda ingin melihat berapa banyak paket yang ditulis, Anda dapat menambahkan -v .

# tcpdump -c 4 -i any port 53 -w dns.pcap -v
tcpdump: data link type LINUX_SLL2
dropped privs to tcpdump
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
4 packets captured
24 packets received by filter
0 packets dropped by kernel

[ Lembar contekan gratis:Dapatkan daftar utilitas dan perintah Linux untuk mengelola server dan jaringan. ] 

Menutup

Seperti yang Anda lihat, tcpdump adalah alat yang sangat baik untuk mengumpulkan data tentang lalu lintas jaringan Anda. Pengambilan paket memberikan informasi yang berguna untuk pemecahan masalah dan analisis keamanan.

Bagian kedua dari seri ini berlanjut dengan melihat enam lagi tcpdump fitur dan tanda, termasuk cara membaca data yang diambil. Terakhir, bagian ketiga memberi Anda lebih banyak opsi untuk mengumpulkan informasi.


Linux

  1. Centos – Lalu Lintas Jaringan Terpisah Pada Dua Antarmuka Jaringan?

  2. Linux – Bagaimana Cara Meneruskan Lalu Lintas Antara Ruang Nama Jaringan Linux?

  3. Contoh penggunaan perintah tcpdump untuk pemecahan masalah jaringan

  1. Memecahkan masalah jaringan Anda dengan tcpdump

  2. Linux:Bagaimana mengukur lalu lintas jaringan harian/bulanan?

  3. Cara menemukan apa yang menggunakan lalu lintas jaringan

  1. 6 opsi pemformatan tcpdump tingkat lanjut

  2. 6 opsi untuk tcpdump yang perlu Anda ketahui

  3. Cara Memantau dan Mencatat Lalu Lintas Jaringan di Linux Menggunakan vnStat