Ağınızdaki trafiği analiz etmek için veri paketlerini yakalamaya mı çalışıyorsunuz? Belki bir sorunla karşılaşan ve ağda iletilen verileri izlemek isteyen bir sunucu yöneticisisiniz. Durum ne olursa olsun, tcpdump Linux yardımcı programı ihtiyacınız olan şeydir.

Bu makalede, tcpdump komutunu, Linux sisteminize tcpdump'ı nasıl kurup kullanacağınıza dair bazı kılavuzlarla birlikte ayrıntılı olarak tartışacağız.

Tcpdump Komutu nedir?

Tcpdump, bir kullanıcının bir ağdaki paketleri ve trafiği verimli bir şekilde filtrelemesini sağlayan güçlü bir ağ izleme aracıdır. Ağınızda iletilen TCP / IP ve paketler ile ilgili detaylı bilgi alabilirsiniz. Tcpdump bir komut satırı yardımcı programıdır; bu, onu Linux sunucularında ekran olmadan çalıştırabileceğiniz anlamına gelir.

Sistem yöneticileri ayrıca tcpdump yardımcı programını aşağıdakilerle entegre edebilir: cron günlük kaydı gibi çeşitli görevleri otomatikleştirmek için. Sayısız özelliği onu oldukça çok yönlü kıldığından, tcpdump bir sorun giderme ve bir güvenlik aracı olarak çalışır.

instagram viewer

Linux'a tcpdump Nasıl Kurulur

Çoğu zaman tcpdump'ı sisteminize önceden yüklenmiş olarak bulacaksınız, ancak bazı Linux dağıtımları paketle birlikte gönderilmez. Bu nedenle, yardımcı programı sisteminize manuel olarak yüklemeniz gerekebilir.

Sisteminizde tcpdump'ın kurulu olup olmadığını kontrol edebilirsiniz. hangi komut. 

hangi tcpdump

Çıktı bir dizin yolu (/usr/bin/tcpdump), ardından sisteminizde paket kurulur. Ancak değilse, sisteminizdeki varsayılan paket yöneticisini kullanarak bunu kolayca yapabilirsiniz.

Ubuntu gibi Debian tabanlı dağıtımlara tcpdump yüklemek için: 

sudo apt-get install tcpdump

Tcpdump'ı CentOS'a kurmak da kolaydır. 

sudo yum install tcpdump

Arch tabanlı dağıtımlarda: 

sudo pacman -S tcpdump

Fedora'ya yüklemek için: 

sudo dnf tcpdump yükle

Tcpdump paketinin şunu gerektirdiğini unutmayın: libcap bağımlılık olarak, sisteminize de yüklediğinizden emin olun.

Linux'ta Ağ Paketlerini Yakalamak için Tcpdump Örnekleri

Artık Linux makinenize tcpdump'ı başarıyla yüklediğinize göre, bazı paketleri izleme zamanı geldi. Tcpdump, işlemlerin çoğunu yürütmek için süper kullanıcı izinleri gerektirdiğinden, eklemeniz gerekecek sudo emirlerine.

1. Tüm Ağ Arayüzlerini Listeleme

Hangi ağ arayüzlerinin yakalanabileceğini kontrol etmek için, -D tcpdump komutu ile bayrak. 

tcpdump -D

Geçmek --list-arabirimleri argüman olarak bayrak aynı çıktıyı döndürecektir. 

tcpdump --list-interfaces

Çıktı, sisteminizde bulunan tüm ağ arayüzlerinin bir listesi olacaktır.

Ağ arayüzlerinin listesini aldıktan sonra, sisteminizdeki paketleri yakalayarak ağınızı izleme zamanı. Hangi arayüzü kullanmak istediğinizi belirtebilmenize rağmen, hiç argüman komutları, herhangi bir etkin arabirimi kullanarak ağ paketlerini yakalamak için tcpdump. 

tcpdump - herhangi bir arabirim

Sistem aşağıdaki çıktıyı gösterecektir.

İlişkili: Açık Sistemler Arabağlantı Modeli Nedir?

2. Tcpdump Çıktı Biçimi

Üçüncü satırdan başlayarak, çıktının her satırı tcpdump tarafından yakalanan belirli bir paketi gösterir. İşte tek bir paketin çıktısı neye benziyor. 

17: 00: 25.369138 wlp0s20f3 Out IP localsystem.40310> kul01s10-in-f46.1e100.net.https: Bayraklar [P.], seq 196: 568, ack 1, win 309, seçenekler [nop, nop, TS val 117964079 ecr 816509256], uzunluk 33

Tüm paketlerin bu şekilde yakalanmadığını unutmayın, ancak çoğu tarafından izlenen genel biçim budur.

Çıktı aşağıdaki bilgileri içerir.

  1. Alınan paketin zaman damgası
  2. Arayüz adı
  3. Paket akışı
  4. Ağ protokolünün adı
  5. IP adresi ve bağlantı noktası ayrıntıları
  6. TCP bayrakları
  7. Paketteki verilerin sıra numarası
  8. Ack verileri
  9. Pencere boyutu
  10. Paket uzunluğu

İlk alan (17:00:25.369138) sisteminiz paketi gönderdiğinde veya aldığında zaman damgasını görüntüler. Kaydedilen saat, sisteminizin yerel saatinden alınır.

İkinci ve üçüncü alanlar, kullanılan arayüzü ve paketin akışını gösterir. Yukarıdaki ön bilgide, wlp0s20f3 kablosuz arayüzün adı ve Dışarı paket akışıdır.

Dördüncü alan, ağ protokol adı ile ilgili bilgileri içerir. Genel olarak, iki protokol bulacaksınız. IP ve IP6, burada IP, IPV4'ü belirtir ve IP6, IPV6 içindir.

Sonraki alan, kaynak ve hedef sistemin IP adreslerini veya adını içerir. IP adreslerinin ardından bağlantı noktası numarası gelir.

Çıktıdaki altıncı alan TCP bayraklarından oluşur. Tcpdump çıktısında kullanılan çeşitli bayraklar vardır.

Bayrak Adı Değer Açıklama
SYN S Bağlantı başladı
FIN F Bağlantı bitti
İT P Veriler aktarılır
RST R Bağlantı sıfırlandı
ACK . Teşekkür

Çıktı ayrıca birkaç TCP bayrağının bir kombinasyonunu da içerebilir. Örneğin, BAYRAK [ö.] FIN-ACK paketi anlamına gelir.

Çıktı parçacığında daha ileriye gidildiğinde, sonraki alan sıra numarasını içerir (sıra 196: 568) paketteki verilerin. İlk paket her zaman pozitif bir tamsayı değerine sahiptir ve sonraki paketler, veri akışını iyileştirmek için göreceli sıra numarasını kullanır.

Bir sonraki alan, alındı ​​numarasını (ack 1) veya basit Ack numarası. Gönderenin makinesinde yakalanan paket, alındı ​​numarası olarak 1'e sahiptir. Alıcının tarafında, Ack numarası bir sonraki paketin değeridir.

Çıktıdaki dokuzuncu alan, pencere boyutunu barındırır (309 kazanmak), alıcı arabellekte bulunan bayt sayısıdır. Maksimum Segment Boyutu (MSS) dahil olmak üzere pencere boyutunu izleyen birkaç başka alan vardır.

Son alan (uzunluk 33) tcpdump tarafından yakalanan toplam paketin uzunluğunu içerir.

3. Yakalanan Paketlerin Sayısını Sınırlayın

Tcpdump komutunu ilk kez çalıştırırken, siz bir kesme sinyali geçene kadar sistemin ağ paketlerini yakalamaya devam ettiğini fark edebilirsiniz. Önceden yakalamak istediğiniz paket sayısını belirterek bu varsayılan davranışı geçersiz kılabilirsiniz. -c bayrak. 

tcpdump - arayüz herhangi -c 10

Yukarıda bahsedilen komut, herhangi bir aktif ağ arayüzünden on paketi yakalayacaktır.

4. Alanlara Göre Paketleri Filtrele

Bir sorunu giderirken, terminalinizde büyük bir metin bloğu almak bunu kolaylaştırmaz. Tcpdump'daki filtreleme özelliği burada devreye giriyor. Paketleri ana bilgisayar, protokol, bağlantı noktası numarası ve daha fazlasını içeren çeşitli alanlara göre filtreleyebilirsiniz.

Yalnızca TCP paketlerini yakalamak için şunu yazın: 

tcpdump - herhangi bir arayüz -c 5 tcp

Benzer şekilde, çıkışı bağlantı noktası numarasını kullanarak filtrelemek isterseniz: 

tcpdump - arayüz herhangi -c 5 bağlantı noktası 50

Yukarıda bahsedilen komut yalnızca belirtilen bağlantı noktası üzerinden iletilen paketleri alır.

Belirli bir ana bilgisayarın paket ayrıntılarını almak için: 

tcpdump - arayüz herhangi bir -c 5 ana bilgisayar 112.123.13.145

Belirli bir ana bilgisayar tarafından gönderilen veya alınan paketleri filtrelemek istiyorsanız, src veya dst komutla argüman. 

tcpdump - arayüz herhangi -c 5 src 112.123.13.145
tcpdump - arayüz herhangi -c 5 dst 112.123.13.145

Mantıksal operatörleri de kullanabilirsiniz. ve ve veya iki veya daha fazla ifadeyi bir araya getirmek için. Örneğin, kaynak IP'ye ait paketleri almak için 112.123.13.145 ve limanı kullan 80: 

tcpdump --interface any -c 10 src 112.123.13.145 ve bağlantı noktası 80

Karmaşık ifadeler kullanılarak birlikte gruplanabilir parantez aşağıdaki gibi: 

tcpdump --interface any -c 10 "(src 112.123.13.145 veya src 234.231.23.234) ve (bağlantı noktası 45 veya bağlantı noktası 80)"

5. Paket İçeriğini Görüntüle

Kullanabilirsiniz -A ve -x ağ paketinin içeriğini analiz etmek için tcpdump komutuyla bayraklar. -A bayrak, ASCII biçim ve -x gösterir onaltılık biçim.

Sistem tarafından yakalanan sonraki ağ paketinin içeriğini görüntülemek için: 

tcpdump - herhangi bir arayüz -c 1 -A
tcpdump - arayüz herhangi -c 1 -x

İlişkili: Paket Kaybı Nedir ve Nedeni Nasıl Onarılır?

6. Yakalama Verilerini Dosyaya Kaydetme

Yakalama verilerini referans amacıyla kaydetmek istiyorsanız, tcpdump size yardımcı olmak için oradadır. Sadece geç -w çıktıyı ekranda görüntülemek yerine bir dosyaya yazmak için varsayılan komutla bayrak. 

tcpdump - arayüz herhangi -c 10 -w data.pcap

.pcap dosya uzantısı şu anlama gelir: paket yakalama veri. Ayrıca yukarıda belirtilen komutu ayrıntılı modda, -v bayrak. 

tcpdump - arayüz herhangi -c 10 -w data.pcap -v

Okumak için .pcap tcpdump kullanarak dosya oluşturmak için -r bayrak ve ardından dosya yolu. -r duruyor Okuyun. 

tcpdump -r data.pcap

Ağ paketlerini dosyaya kaydedilen paket verilerinden de filtreleyebilirsiniz. 

tcpdump -r data.pcap bağlantı noktası 80

Linux'ta Ağ Trafiğini İzleme

Bir Linux sunucusunu yönetme görevi size atanmışsa, tcpdump komutu cephaneliğinize dahil etmek için harika bir araçtır. Ağınızda iletilen paketleri gerçek zamanlı olarak yakalayarak ağla ilgili sorunları kolayca çözebilirsiniz.

Ancak tüm bunlardan önce, cihazınızın internete bağlı olması gerekir. Linux'a yeni başlayanlar için, Wi-Fi ile komut satırı üzerinden bağlantı kurmak bile biraz zor olabilir. Ancak doğru araçları kullanıyorsanız, bu çok kolaydır.

E-posta adresi
Nmcli ile Linux Terminali Üzerinden Wi-Fi'ye Nasıl Bağlanır

Linux komut satırı üzerinden bir Wi-Fi ağına bağlanmak mı istiyorsunuz? Nmcli komutu hakkında bilmeniz gerekenler.

Sonrakini Oku

İlgili konular
  • Linux
  • Güvenlik
  • Ağ Adli Tıp
Yazar hakkında
Deepesh Sharma (37 Makale Yayınlandı)

Deepesh, MUO'nun Linux için Junior Düzenleyicisidir. 3 yıldan fazla bir süredir internette bilgilendirici içerik yazıyor. Boş zamanlarında yazmayı, müzik dinlemeyi ve gitar çalmayı sever.

Deepesh Sharma'dan Daha Fazla

Haber bültenimize abone ol

Teknoloji ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için haber bültenimize katılın!

Bir adım daha…!

Lütfen size az önce gönderdiğimiz e-postadaki e-posta adresinizi onaylayın.

.