Iz­man­to­jot Linux komandu tcpdump, var analizēt tīklā nosūtītos pakešus. Lai šo analīzi vēl vairāk op­ti­mi­zē­tu, var izmantot daudz­vei­dī­gas opcijas un filtrus.

Kas ir Linux tcpdump?

Lai analizētu tīkla datplūsmu Linux vidē un, iespējams, novērstu tīkla problēmas, tcpdump ir noderīga izvēle. Šī ko­man­drin­das programma ir iepriekš instalēta gandrīz visās iz­pla­tī­tā­ka­jās Linux dis­tri­bū­ci­jās, piemēram, Debian vai Ubuntu, un tā pārraida in­for­mā­ci­ju par datu pakešiem, kas nosūtīti vai saņemti jūsu tīklā. Ne­ska­to­ties uz savu nosaukumu, Linux tcpdump ir piemērots ne tikai TCP pakešiem, bet var analizēt arī UDP un ICMP pakešus. Lai izmantotu šo komandu, jums tomēr ir ne­pie­cie­ša­mas root tiesības.

Kā darbojas komanda „tcpdump“?

Ar programmu „tcpdump“ veikto analīzi parasti dēvē par „sniffing“. Iz­man­to­jot Linux komandu „tcpdump“, var norādīt tīkla in­ter­fei­su, kuru prog­ram­mai jāuzrauga. Lai pielāgotu un op­ti­mi­zē­tu šo procesu, „tcpdump“ piedāvā plašu filtru klāstu. Komanda tiek izpildīta ko­man­drin­dā, un analīzes rezultāti tiek attēloti at­bil­sto­ši.

Kāda ir tcpdump sintakse?

Linux tcpdump sintakse ir ļoti vienkārša un izskatās šādi:

$ tcpdump [Options] [Filter]
bash

Lai gan opciju no­rā­dī­ša­na nav obligāta, to ieteicams darīt, lai no­dro­ši­nā­tu, ka tcpdump izmanto pareizo tīkla in­ter­fei­su. Turklāt filtru iz­man­to­ša­na ir fa­kul­ta­tī­va, taču ļoti noderīga. Bez filtriem tcpdump analizē visus pakešus no visiem datoriem, kas ātri var kļūt pārāk apjomīgi un radīt ne­skaid­rī­bas.

Kādas ir Linux komandas „tcpdump“ opcijas un filtri?

Prog­ram­mai „tcpdump“ ir daudz dažādu opciju un filtru. Sva­rī­gā­kās no tām ir:

  • -A: Izvada paketes saturu ASCII formātā.
  • -c [Skaits]: tcpdump tiek au­to­mā­tis­ki pār­traukts, kad ir analizēts noteikts pakešu skaits.
  • -D: Ar šo opciju tiek uz­skai­tī­ti visi pieejamie in­ter­fei­si.
  • -i [Interface]: Ar šo opciju varat noteikt, kura saskarne ir jā­ie­rak­sta.
  • -s [Daudzums]: Šī opcija nosaka, cik daudz baitu jā­ie­rak­sta no katra paketa.

Šos filtrus var izmantot programmā tcpdump:

  • dst: Tiek analizēti tikai tie pakeši, kuru ga­la­mēr­ķis atbilst no­rā­dī­ta­jai vērtībai. Tā var būt hosts, tīkls, ports vai portu diapazons.
  • host: filtrs nodrošina, ka tiek ņemti vērā tikai tie pakeši, kuriem kā avots vai ga­la­mēr­ķis ir konkrēta IP adrese vai arī konkrēts uzņēmuma nosaukums.
  • net: Šis filtrs ņem vērā tikai tos pakešus, kuru avots vai ga­la­mēr­ķis ir IP adrese no norādītā tīkla diapazona.
  • port: Iz­man­to­jiet šo filtru, lai norādītu konkrētu portu no 0 līdz 65535, kas tiks analizēts eks­klu­zī­vi.
  • portrange: Šis filtrs ietver portu diapazonu no 0 līdz 65535.
  • proto: Šis filtrs ņem vērā tikai tos pakešus, kuriem ir konkrēts tīkla protokols. Filtram var būt šādas vērtības: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp vai wlan.
  • src: Lai analizētu paketes, pa­ma­to­jo­ties uz kon­krē­tiem kri­tē­ri­jiem, piemēram, uzņēmēju, tīklu, portu vai portu diapazonu.

Piemēri komandas „tcpdump“ lie­to­ša­nai

Nobeigumā parādīsim, kā lietot tcpdump. Mūsu piemēros iz­man­to­jam Linux komandu sudo.

$ sudo tcpdump -D
bash

Pār­bau­diet, kādi tīkla in­ter­fei­si ir pieejami.

$ sudo tcpdump -i wlx14a3c782966b
bash

Ana­li­zē­jiet tikai in­ter­fei­su ar norādīto nosaukumu.

$ sudo tcpdump -c 5 -i wlx14a3c782966b
bash

Tādējādi jūs panākat, ka tcpdump iekļauj tikai piecus pakešus.

Go to Main Menu