Linuxi käsuga tcpdump saate ana­lüü­sida oma võrgus saadetud pakette. Analüüsi täius­ta­miseks on võimalik kasutada mit­me­su­gu­seid valikuid ja filtreid.

Mis on Linuxi tcpdump?

Linuxis võr­gu­liik­luse ana­lüü­si­miseks ja võimalike võr­gu­prob­leemide la­hen­da­miseks on tcpdump väär­tus­lik valik. See kä­su­reaprog­ramm on eel­ins­tal­li­tud peaaegu kõigile levinud Linuxi dist­ri­but­sioo­ni­dele, nt Debianile või Ubuntule, ning edastab teavet teie võrgus saadetud või vas­tu­võe­tud and­me­pa­ket­tide kohta. Vaatamata oma nimele ei sobi Linuxi tcpdump mitte ainult TCP-pakettide jaoks, vaid suudab ana­lüü­sida ka UDP- ja ICMP-pakette. Käsu ka­su­ta­miseks on aga vaja root-õigusi.

Kuidas töötab käsk tcpdump?

tcpdumpi poolt teos­ta­ta­vat analüüsi ni­me­ta­takse ta­va­li­selt „snif­fin­guks”. Linuxi tcpdump-käsu abil saab määrata, millist võr­gu­lii­dest programm jälgima hakkab. Protsessi ko­han­da­miseks ja op­ti­mee­ri­miseks pakub tcpdump laia valikut filtreid. Käsk käi­vi­ta­takse käsurealt ja analüüsi tulemused kuvatakse vastavalt.

Milline on tcpdumpi süntaks?

Linuxi tcpdumpi süntaks on väga lihtne ja näeb välja järgmine:

$ tcpdump [Options] [Filter]
bash

Kuigi pa­ra­meet­rite määramine ei ole ko­hus­tus­lik, on soo­vi­ta­tav seda teha, et tcpdump kasutaks õiget võr­gu­lii­dest. Lisaks on filtrite ka­su­ta­mine va­ba­taht­lik, kuid väga kasulik. Ilma filt­ri­teta analüüsib tcpdump kõiki pakette kõigilt hostidelt, mis võib kiiresti muutuda üle­koor­ma­vaks ja segadust te­ki­ta­vaks.

Millised on Linuxi käsu tcpdump valikud ja filtrid?

tcpdumpil on palju erinevaid valikuid ja filtreid. Kõige olu­li­se­mad neist on:

  • -A: kuvab paketi sisu ASCII-koodina.
  • -c [Kogus]: tcpdump lõ­pe­ta­takse au­to­maat­selt, kui teatud arv pakette on ana­lüü­si­tud.
  • -D: Selle valikuga kuvatakse kõik saadaval olevad liidesed.
  • -i [liides]: Selle valikuga mää­ra­takse, millist liidest sal­ves­ta­takse.
  • -s [Kogus]: See valik määrab, kui palju baiti paketi kohta sal­ves­ta­takse.

Võid kasutada neid filtreid tcpdumpi jaoks:

  • dst: Ana­lüü­si­takse ainult neid pakette, mille siht­ko­haks on määratud väärtus. See võib olla host, net, port või portrange.
  • host: filter tagab, et arvesse võetakse ainult neid pakette, mille allikas või sihtkoht on kindel IP-aadress või kindel hostinimi.
  • net: See filter võtab arvesse ainult neid pakette, mille lähte- või siht­punk­tiks on IP-aadress kind­laks­mää­ra­tud võr­gu­va­he­mi­kust.
  • port: Kasutage seda filtrit, et määrata kindlaks konk­reetne port vahemikus 0–65535, mida ana­lüü­si­takse eraldi.
  • portrange: See filter sisaldab por­di­va­he­mikku vahemikus 0 kuni 65535.
  • proto: See filter võtab arvesse ainult pakette, millel on kindel võr­gu­pro­to­koll. Filtril võivad olla järgmised väärtused: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp või wlan.
  • src: Pakettide ana­lüü­si­mine kindlate kri­tee­riumide alusel, nagu host, võrk, port või portide vahemik.

Näited käsu tcpdump ka­su­ta­miseks

Lõ­pe­tu­seks näitame teile, kuidas kasutada tcpdumpi. Meie näidetes kasutame Linuxi sudo-käsku.

$ sudo tcpdump -D
bash

Kontrolli, millised võr­gu­lii­de­sed on saadaval.

$ sudo tcpdump -i wlx14a3c782966b
bash

Analüüsi ainult määratud nimega liidest.

$ sudo tcpdump -c 5 -i wlx14a3c782966b
bash

Seda tehes paned tcpdumpi sal­ves­tama vaid viis paketti.

Go to Main Menu