Tutorial TCPDump con esempi

Tutorial TCPDump con esempi
TCPDump è uno strumento di analizzatore di pacchetti di rete molto utile. È possibile utilizzare questo strumento tramite l'interfaccia della riga di comando. Inoltre, questo strumento viene preinstallato con la maggior parte delle distribuzioni Linux disponibili là fuori. Con l'aiuto di esempi pertinenti, saremo in grado di condividere con te alcuni degli usi più comuni di questo strumento.

Esempi di utilizzo di TCPDump:

Per apprendere l'uso dello strumento TCPDUMP su un Linux Mint 20.3 Sistema, puoi considerare i seguenti esempi:

Esempio n. 1: come confermare l'esistenza dello strumento TCPDump su Linux Mint 20.3?

Prima di iniziare a utilizzare lo strumento TCPDump, è necessario assicurarsi che questo strumento esista già sul tuo sistema. Questo può essere confermato eseguendo il comando indicato di seguito.

$ tcpdump -version

Il seguente output conferma che lo strumento TCPDump è già installato sul nostro Linux Mint 20.3 Sistema:

Esempio n. 2: come accedere al manuale di aiuto dello strumento TCPDump su Linux Mint 20.3?

Inoltre, si consiglia di passare attraverso il manuale di aiuto di questo strumento prima di usarlo. Puoi farlo eseguendo il comando mostrato di seguito.

$ tcpdump - -help

Il manuale di aiuto dello strumento TCPDump è mostrato nella seguente immagine:

Esempio n. 3: Elenca tutte le interfacce disponibili usando TCPDump:

È necessario eseguire il comando mostrato di seguito per elencare tutte le interfacce disponibili sul sistema.

$ tcpdump -d

Tutte le interfacce disponibili del nostro sistema sono mostrate nella seguente immagine:

Esempio # 4: Capture Pacchetti da una singola interfaccia usando TCPDump:

Per catturare i pacchetti da una delle interfacce disponibili utilizzando TCPDump, è possibile eseguire il comando mostrato di seguito:

$ sudo tcpdump -i enp0s3

Qui, puoi sostituire "enp0s3" con il nome della particolare interfaccia i cui pacchetti si desidera catturare.

Inoltre, questo comando continuerà a catturare i pacchetti come mostrato nella seguente immagine fino a quando non lo si interrompe con forza premendo Ctrl+ C. Tuttavia, alla fine, visualizzerà un riepilogo dei pacchetti totali catturati, ricevuti e abbandonati.

Esempio # 5: limitare il numero di pacchetti catturati usando TCPDump:

Hai visto nell'esempio mostrato sopra che il comando tcpdump continua a catturare i pacchetti fino a quando non lo fermiamo con forza. Tuttavia, c'è un modo attraverso il quale è possibile limitare il numero di pacchetti catturati specificando quel numero nel modo mostrato di seguito:

$ sudo tcpdump -c 3 -i enp0s3

Puoi sostituire "3" con qualsiasi numero in base ai pacchetti totali che si desidera catturare.

Dopo aver acquisito il numero specificato di pacchetti, questo comando terminerà automaticamente come mostrato nella seguente immagine:

Esempio # 6: visualizzare i pacchetti catturati in formato ASCII usando tcpdump:

Potresti anche voler visualizzare i pacchetti catturati in formato ASCII. Questo può essere fatto eseguendo il comando indicato di seguito:

$ sudo tcpdump -a -c 3 -i enp0s3

I pacchetti catturati nel formato ASCII sono mostrati nella seguente immagine:

Esempio # 7: visualizzare i pacchetti catturati in formati ASCII ed esadecimale usando TCPDump:

Il comando mostrato di seguito può essere utilizzato per stampare i pacchetti catturati nei formati ASCII e esadecimale contemporaneamente:

$ sudo tcpdump -xx -c 3 -i enp0s3

La seguente immagine mostra l'output di questo comando:

Esempio n. 8: salva i pacchetti acquisiti in un file usando TCPDump:

Se si desidera salvare i pacchetti catturati in un file, è necessario eseguire il comando mostrato di seguito:

$ sudo tcpdump -w 0001.PCAP -C 3 -I ENP0S3

Qui, “0001.PCAP "è il nome del file a cui verranno archiviati i pacchetti catturati.

Dopo aver salvato correttamente i pacchetti catturati nel file specificato, il seguente output verrà visualizzato sul terminale:

Esempio # 9: leggi i pacchetti catturati da un file usando TCPDump:

Ora, se vuoi leggere e analizzare i pacchetti acquisiti che hai precedentemente salvato in un file, dovrai eseguire il comando mostrato di seguito:

$ sudo tcpdump -r 0001.PCAP

Il contenuto del nostro file specificato, i.e., Tutti i pacchetti catturati e salvati, sono mostrati nella seguente immagine:

Esempio # 10: acquisire solo i pacchetti IP utilizzando TCPDump:

Potresti anche scegliere di acquisire solo i pacchetti IP eseguendo il comando mostrato di seguito:

$ sudo tcpdump -n -c 3 -i enp0s3

I pacchetti IP catturati sono mostrati nella seguente immagine:

Esempio n. 11: cattura solo pacchetti di un protocollo specifico usando TCPDump:

Il comando indicato di seguito può essere utilizzato per catturare solo i pacchetti che utilizzano un protocollo specificato:

$ sudo tcpdump -c 3 -i enp0s3 udp

Questo comando catturerà tre pacchetti UDP dall'interfaccia specificata, come mostrato nella seguente immagine. È possibile utilizzare lo stesso comando mentre si sostituisce "UDP" con "TCP" per catturare i pacchetti TCP.

Esempio # 12: Acquisisci pacchetti solo da una porta specifica usando TCPDump:

Se si desidera catturare i pacchetti solo da una porta specifica, dovrai eseguire il comando mostrato di seguito.

$ sudo tcpdump -c 1 -i enp0s3 porta 29915

Qui, puoi sostituire "29915" con il numero di porta della porta i cui pacchetti si desidera catturare.

Questo comando richiederà del tempo per l'esecuzione, dopo di che sarai in grado di vedere i pacchetti catturati dalla porta specificata.

Esempio # 13: Acquisisci pacchetti dall'indirizzo IP di origine utilizzando TCPDump:

Per catturare i pacchetti dall'indirizzo IP di origine, dovrai eseguire il seguente comando:

$ sudo tcpdump -c 3 -i enp0s3 src 10.0.2.15

Puoi sostituire “10.0.2.15 "con il tuo particolare indirizzo IP di origine.

Ancora una volta, questo comando richiederà del tempo per completare la sua esecuzione, dopo di che potrai vedere i pacchetti catturati dall'indirizzo IP di origine.

Esempio # 14: Acquisisci pacchetti dall'indirizzo IP di destinazione utilizzando TCPDump:

Infine, puoi anche acquisire pacchetti dall'indirizzo IP di destinazione eseguendo il comando mostrato di seguito:

$ sudo tcpdump -c 3 -i enp0s3 dst 192.168.10.1

Qui puoi sostituire “192.168.10.1 "con l'indirizzo IP di destinazione particolare i cui pacchetti si desidera acquisire.

Dopo qualche tempo, questo comando visualizzerà i pacchetti catturati dall'indirizzo IP di destinazione.

Conclusione

Questo tutorial ti ha guidato sull'uso dello strumento TCPDump su un Linux Mint 20.3 sistema. Passando attraverso gli esempi condivisi in questo tutorial, imparerai almeno l'uso di base di questa utilità estremamente utile.