Esempi di comandi TCPDump e tutorial
Il "TCPDump" è un analizzatore di pacchetti e utilizzato per diagnosticare e analizzare i problemi di rete. Cattura il traffico di rete che attraversa il tuo dispositivo e lo guarda. Lo strumento "TCPDump" è uno strumento potente per risolvere i problemi di rete. Viene fornito con molte opzioni, il che lo rende un'utilità della linea di comando versatile per risolvere i problemi di rete.
Questo post è una guida dettagliata sull'utilità "TCPDump" che include l'installazione, le caratteristiche comuni e l'utilizzo con diverse opzioni. Cominciamo con l'installazione:
Come installare "tcpdump":
In molte distribuzioni, il "TCPDump" esce dalla scatola e per verificarlo, utilizzare:
$ quale tcpdump
Se non si trova nella distribuzione, installalo utilizzando:
$ sudo apt install tcpdump
Il comando sopra verrà utilizzato per distribuzioni basate su Debian come Ubuntu e LinuxMint. Per "Redhat" e "CentOS", usa:
$ sudo dnf installa tcpdump
Come catturare i pacchetti con tcpdump:
Varie interfacce possono essere utilizzate per catturare i pacchetti. Per ottenere un elenco di interfacce, utilizzare:
$ sudo tcpdump -d
O semplicemente usa "qualsiasi" con il comando "tcpdump" per ottenere pacchetti dall'interfaccia attiva. Per iniziare l'uso del pacchetto di cattura:
$ sudo tcpdump -interfaccia
Il comando sopra è traccia dei pacchetti da tutte le interfacce attive. I pacchetti verranno continuamente afferrati fino a quando non avrà un'interruzione dall'utente (CTRL-C).
Possiamo anche limitare il numero di pacchetti da catturare usando il flag "-c" che indica il "conteggio."Per catturare 3 pacchetti, utilizzare:
$ sudo tcpdump -i qualsiasi -c3
Il comando sopra è utile per filtrare un pacchetto specifico. Inoltre, la risoluzione dei problemi dei problemi di connettività richiede solo alcuni pacchetti iniziali da catturare.
IL "tcpdump"Il comando cattura i pacchetti con i nomi IP e delle porte per impostazione predefinita, ma per ripulire, il pasticcio e semplificano l'output da capire; I nomi possono essere disabilitati usando "-N" E "-nn"Per l'opzione porta:
$ sudo tcpdump -i qualsiasi -c3 -nn
Come mostrato nell'output sopra, i nomi IP e delle porte sono stati eliminati.
Come capire le informazioni su un pacchetto catturato:
Per conoscere i vari campi di un pacchetto catturato, prendiamo un esempio di un pacchetto TCP:
Un pacchetto può avere vari campi, ma quelli generali sono visualizzati sopra. Il primo campo, "09:48:18.960683,"Rappresenta un momento in cui il pacchetto viene ricevuto. Next arriva gli indirizzi IP; il primo IP [216.58.209.130] è l'IP di origine e il secondo IP [10.0.2.15.55812] è l'IP di destinazione. Allora otterrai la bandiera [P.]; Di seguito sono riportati un elenco di bandiere tipiche:
| Bandiera | Tipo | Descrizione |
| "." | Ack | Significa riconoscimento |
| S | Syn | Flag per l'avvio di una connessione |
| F | Pin | Flag per una connessione chiusa |
| P | SPINGERE | Indica la spinta dei dati dal mittente |
| R | Primo | Reset della connessione |
E il prossimo arriva il numero di sequenza "Seq 185: 255". Il client e il server utilizzano entrambi il numero di sequenza a 32 bit per mantenere e monitorare i dati.
IL "Ack"È una bandiera; Se è 1, ciò significa che il numero di riconoscimento è valido e il ricevitore si aspetta il byte successivo.
Il numero della finestra indica la dimensione del buffer. "Vinci 65535"Indica la quantità di dati che possono essere bufferiti.
E alla fine arriva la lunghezza [70] del pacchetto in byte che è una differenza di "185: 255".
Filtrando i pacchetti per risolvere i problemi di rete:
Lo strumento "TCPDump" cattura centinaia di pacchetti e la maggior parte di essi è di minore importanza, il che rende molto complesso ottenere le informazioni desiderate per la risoluzione dei problemi. In questo caso, il filtro svolgerà il suo ruolo. Ad esempio, durante la risoluzione dei problemi se non si è interessati a un particolare tipo di traffico, è possibile filtrarlo usando "TCPDump", che viene fornito con i pacchetti di filtraggio in base agli indirizzi IP, alle porte e ai protocolli.
Come catturare un pacchetto usando il nome host con comando tcpdump:
Per ottenere il pacchetto solo da un host specifico, usa:
$ sudo tcpdump -i Any -c4 host 10.0.2.15
Se vuoi ottenere solo traffico a senso unico, allora usa "src" E "DST"Opzioni al posto di"ospite."
Come catturare un pacchetto usando il numero di porta con comando tcpdump:
Per filtrare i pacchetti con il numero di porta, utilizzare:
$ sudo tcpdump -i qualsiasi -c3 -nn port 443
Il "443" è il numero di porta HTTPS.
Come catturare un pacchetto usando il protocollo con comando TCPDump:
Con il comando "TCPDump", è possibile filtrare i pacchetti in base a qualsiasi protocollo come UDP, ICMP, ARP, ecc. Basta digitare il nome del protocollo:
$ sudo tcpdump -i qualsiasi -c6 udp
I comandi sopra cattureranno solo pacchetti che appartengono al protocollo "UDP".
Come combinare le opzioni di filtraggio utilizzando gli operatori logici:
Diverse opzioni di filtraggio possono essere combinate utilizzando operatori logici come "e/o":
$ sudo tcpdump -i qualsiasi -c6 -nn host 10.0.2.15 e porta 443
Come archiviare i dati acquisiti:
I dati afferrati possono essere salvati in un file per monitorarlo in seguito e per quell'opzione "-w" verrà utilizzata e "W" significa "Scrivi":
$ sudo tcpdump -i qualsiasi -c5 -w packetdata.PCAP
L'estensione del file sarebbe ".PCAP ", che sta per" Cattura dei pacchetti."Una volta terminata l'acquisizione, il file verrebbe salvato nell'unità locale. Questo file non può essere aperto o letto utilizzando qualsiasi programma di editor di testo. Per leggerlo, usa il “-R"Flag con" tcpdump ":
$ tcpdump -r packetdata.PCAP
Conclusione:
Il "TCPDump" è uno strumento prezioso e flessibile per acquisire e analizzare il traffico di rete per risolvere i problemi di rete. Il punto di attenzione di questa guida è quello di apprendere l'uso di base e avanzato dell'utilità della linea di comando "TCPDump". Ma se trovi difficile, allora esiste un programma basato su GUI meno complesso chiamato "Wireshark", che fa praticamente lo stesso lavoro ma con varie funzionalità aggiuntive.