Linux, aralarından seçim yapabileceğiniz çok sayıda ağ yardımcı programı ile donatılmıştır. tcpdump, Linux'ta ağ hatalarını gidermeniz gerektiğinde ağ trafiğini yakalayıp analiz edebilen çok güçlü bir ağ aracıdır.
tcpdump komutuyla pratik yapalım ve ağ trafiğini yakalamak için nasıl kullanılacağını keşfedelim.
Linux'ta tcpdump kurulumu
tcpdump genellikle önceden yüklenmiş olarak gelir tüm ana Linux dağıtımları ve güvenlik temelli alternatifler. Yani yazarak hemen kullanabilmelisiniz tcpdump Birlikte sudo önek.
tcpdump komutunu çalıştıramazsanız ve "tcpdump: komut bulunamadı" hatası, tcpdump'ı Linux makinenize nasıl kuracağınızı öğrenelim.
tcpdump'ı kurmak için terminali çalıştırın ve şu anda kullanmakta olduğunuz Linux dağıtımına karşılık gelen komutu çalıştırın:
Debian/Ubuntu türevlerinde şunu çalıştırın:
sudo uygunalmak tcpdump'ı yükleAçık Arch tabanlı sistemler, koşmak:
sudo pacman -S tcpdump
tcpdump yardımcı programını Fedora, CentOS ve RHEL'e kurmak için aşağıdaki komutu verin:
sudo dnf Yüklemek tcpdumpYüklemeniz istenirse unutmayın libcap, yazın Evet veya Y tcpdump'ın başlamayı reddedeceği temel bir bağımlılık olduğu için. Bu, tcpdump yardımcı programını kurmalı ve "komut bulunamadı" hatasını çözmelidir.
Artık sisteminize tcpdump kurulduğuna göre, sunduğu farklı seçenekleri ve işlevleri keşfedelim.
tcpdump ile Ağ Trafiğini Yakalama
tcpdump, yürütülmesini değiştirmek için birçok bayrak sunar, ancak bağımsız bir komut olarak da çalıştırılabilir. Ancak, herhangi bir bayrak veya argüman olmadan tcpdump çalıştırmak, tam potansiyelini ihmal etmek olacaktır. Yürütmeyi ve çıktıyı gerektiği gibi değiştirmek için birkaç bayrak kullanmak her zaman daha iyidir.
tcpdump ile ağ aktarımlarını izlemek için bu komutu yazın:
sudo tcpdumpŞimdi tcpdump, ağ paketlerini otomatik olarak yakalamaya başlayacaktır. bir kesinti sinyali ile gönderilir Ctrl + Z işlemi manuel olarak kırmak için. Yakalanan toplam paket sayısını sınırlamak için -c işaretleyin ve yanına istenen paket sınırını yazın:
sudo tcpdump -c 5Çıktıyı şu anda anlamıyorsanız, yapmanız gerekir. tcpdump çıktı formatına aşina olun ilk.
tcpdump ile Kullanılabilir Ağ Arayüzlerini Kontrol Edin
Varsayılan olarak, tcpdump mevcut ağ arayüzlerinden herhangi birinden gelen trafiği yakalar. Kullanımda olan birden fazla etkin ağ arabiriminiz varsa, tcpdump'un paketleri yakalaması gereken ağ arabirimini tanımlamak isteyebilirsiniz. Belirli bir arabirimde tcpdump'ı başlatmak için önce arabirim adını öğrenmeniz gerekir.
Tüm kullanılabilir ağ arayüzlerini tcpdump ile şu şekilde listeleyebilirsiniz:
sudo tcpdump-DVeya, ekleyebilirsiniz --list-arayüzleri komuta bayrak:
sudo tcpdump --liste-arayüzlerDöndürülen çıktı, tcpdump'ın dinleyebileceği tüm aktif ağ arayüzlerinin bir listesini içerir. tcpdump'ı belirli bir ağ arabiriminden aktarımları yakalayacak şekilde yapılandırmak için şu komutu yazın:
sudo tcpdump -i interface_idVeya, ekleyebilirsiniz --arayüz komuta bayrak:
sudo tcpdump --arayüzinterface_idŞimdi birkaç paket yakaladık, şimdi onları yakından inceleyelim ve çıktıyı daha okunaklı hale getirmek için nasıl ince ayar yapabileceğinizi öğrenelim.
tcpdump Filtrelerini Keşfetmek
tcpdump, tek bir çalıştırmada ezici miktarda trafik yakalama yeteneğine sahiptir. Bu tür aşırı bilgi yüklemesi, belirli bir ana bilgisayar veya ağ protokolüyle ilgili sorunları araştırırken veya giderirken sizi yoldan çıkarabilir.
İşte burada tcpdump filtreleri devreye giriyor. Ağ trafiğini filtrelemek ve belirli paketleri yakalamak için tcpdump komutunu belirli bayraklarla ekleyebilirsiniz. Daha sonra bu paketleri saklayabilir ve daha sonra ağla ilgili sorunların kökenine ulaşmak için analiz edebilirsiniz. tcpdump'ta filtrelerin nasıl kullanılacağını öğrenelim.
Paketleri Kullanımdaki Ağ Protokolüne Göre Filtreleme
Belirli bir protokol aracılığıyla iletilen paketleri filtrelemek için, tcpdump komutuyla protokol adını yazın ve yalnızca tanımlanmış ağ protokolü aracılığıyla seyahat eden paketleri yakalayacaktır.
Örneğin, ICMP tabanlı paketleri yakalamak için icmp tcpdump komutunun sonunda. Yalnızca UDP veya TCP paketlerini yakalamak istiyorsanız işlem aynıdır.
sudo tcpdump -c 5 icmpBu komut, yalnızca ICMP protokolü aracılığıyla bir veri alışverişi varsa çıktı döndürür.
Ana Bilgisayara Göre Paketleri Filtrele
tcpdump'ı tek bir ana bilgisayarla ilgili paketleri yakalayacak şekilde yapılandırabilirsiniz. ev sahibi parametre. Bu, özellikle biri dışında ağınızın tüm sistemleri çalıştığında kullanışlıdır. Bu filtre, hedeflenen araştırma yapmanızı sağlar ve gereksiz verilerle dikkatiniz dağılmadığından genel sorun giderme iş akışını hızlandırır.
Belirli bir ana bilgisayarla ilgili paketleri yakalamak için, ana bilgisayarın ağ adresini şu komutla tanımlayın: ev sahibi parametre:
sudotcpdump-c 5 ev sahibi 192.168.2.1Ağ protokolü filtresine benzer şekilde, bu komut yalnızca, devam eden herhangi bir iletim tanımlanan ana bilgisayarla ilgiliyse çıktı döndürür.
Aktif Bağlantı Noktasına Dayalı Filtre Paketleri
tcpdump, ağ trafiğini filtrelemenize ve yalnızca belirli bir bağlantı noktasına veya bağlantı noktasından iletilen paketleri yakalamanıza olanak tanıyan bir parametreyle donatılmıştır.
Belirli bir bağlantı noktasından gelen paketleri yakalamak için Liman tcpdump komutunu işaretleyin ve yanındaki port numarasını tanımlayın. Örneğin, gelen veya giden HTTP trafiğini yakalamak için 80 numaralı bağlantı noktasını tanımlayın:
sudo tcpdump -c 5 bağlantı noktası 80
tcpdump, HTTP iletimlerini bekleyerek 80 numaralı bağlantı noktasını dinleyecektir. Ağdaki HTTP paketlerini algıladığında, onları yakalayacaktır.
Gelişmiş Sıralama için Filtreleri Bir Arada Birleştirin
Önceki bölümlerde, bağlantı noktasına, protokole veya ana bilgisayara göre trafiği nasıl filtreleyebileceğiniz tartışıldı, ancak ya belirli bir ağı kullanarak belirli bir ana bilgisayarın tek bir bağlantı noktasından trafik yakalamak istediniz protokol? Şanslısınız çünkü bu mümkün, tcpdump komutuyla mantıksal operatörleri kullanma yeteneğine atfedilir.
443 numaralı bağlantı noktasını kullanarak tek bir ana bilgisayardan paketleri yakalamak için şu komutu kullanın:
sudotcpdump-c 5 ev sahibi 192.168.2.1veLiman 443
Yakalanan Paketlerin İçeriğini İnceleyin
Varsayılan olarak, tcpdump çıktıda bir paketin başlıklarını görüntüler. Çoğu durumda fazlasıyla yeterli olsa da, bazen yakalanan verilere daha derinlemesine bakmak isteyebilirsiniz veya buna ihtiyaç duyabilirsiniz. Yakalanan paketin içeriğini incelemek için tcpdump komutuyla belirli parametreleri iletebilirsiniz.
Paketlerin içeriğini nasıl görüntüleyeceğiniz aşağıda açıklanmıştır:
sudo tcpdump -c 5 -xBu komut, yakalanan bir paketteki içeriğin onaltılı sürümünü döndürür. Verilerin ASCII formunu görüntülemek isterseniz, -A parametre ile:
sudo tcpdump-Atcpdump Çıktısını Dosyaya Kaydet
Hemen hemen tüm diğer Linux komut satırı araçları gibi, tcpdump tarafından üretilen çıktıyı daha sonra başvurmak üzere bir dosyada saklayabilirsiniz.
Bu, eklenerek yapılabilir. -w komuta bayrak. Yürütüldükten sonra, tcpdump yakalanan verileri bir .pcap tcpdump veya Wireshark gibi diğer ağ izleme araçlarıyla daha sonra analiz edilebilecek dosya.
tcpdump komutunuzun çıktısını bir dosyada saklamak için bu komutu yazın:
sudotcpdump-wele geçirmek.pcapokumak için .pcap dosyası ile tcpdump kullanabilirsiniz. -r parametre:
sudotcpdump-rele geçirmek.pcapLinux, yazılım tarafında olduğu sürece her ağ sorununu çözebilecek çok sayıda ağ oluşturma aracıyla birlikte gelir. İster yaşamak için ağları yöneten bir sistem yöneticisi, ister sıradan bir Linux kullanıcısı olun, Linux'taki en iyi ağ araçlarından birkaçının nasıl kullanılacağını bilmek kesinlikle işinize yarayacaktır.
Mevcut ağ komutlarının gerçek listesi anlaşılamayacak kadar fazla olabileceğinden, bilmeniz gereken en önemli Linux ağ araçlarından bazılarının listesi burada.
