Z ukazom tcpdump v sistemu Linux lahko ana­li­zi­ra­te pakete, poslane znotraj vašega omrežja. Za dodatno op­ti­mi­za­ci­jo te analize lahko uporabite številne možnosti in filtre.

Kaj je Linux tcpdump?

Za analizo omrežnega prometa v sistemu Linux in morebitno od­pra­vlja­nje omrežnih težav je tcpdump dragocena rešitev. Program za ukazno vrstico je vnaprej nameščen na skoraj vseh običajnih di­s­tri­bu­ci­jah Linuxa, npr. Debian ali Ubuntu, in prenaša in­for­ma­ci­je o po­dat­kov­nih paketih, poslanih ali prejetih v vašem omrežju. Kljub svojemu imenu Linux tcpdump ni primeren le za TCP-pakete, ampak lahko analizira tudi UDP- in ICMP-pakete. Za uporabo ukaza pa po­tre­bu­je­te root-pravice.

Kako deluje ukaz tcpdump?

Analizo, ki jo izvede tcpdump, običajno imenujemo »sniffing«. Z ukazom tcpdump v sistemu Linux lahko določite omrežni vmesnik, ki ga naj program spremlja. Za pri­la­ga­ja­nje in op­ti­mi­za­ci­jo postopka tcpdump ponuja široko paleto filtrov. Ukaz se izvede v ukazni vrstici, rezultati analize pa se ustrezno prikažejo.

Kakšna je sintaksa programa tcpdump?

Sintaksa programa tcpdump v sistemu Linux je zelo preprosta in je naslednja:

$ tcpdump [Options] [Filter]
bash

Čeprav navajanje pa­ra­me­trov ni obvezno, je pri­po­ro­člji­vo, da se pre­pri­ča­te, da tcpdump upošteva pravi omrežni vmesnik. Poleg tega je uporaba filtrov neobvezna, a zelo koristna. Brez filtrov tcpdump analizira vse pakete iz vseh go­sti­te­ljev, kar lahko hitro postane preveč obsežno in zmedeno.

Katere možnosti in filtre ponuja ukaz tcpdump v sistemu Linux?

Za program tcpdump je na voljo veliko možnosti in filtrov. Naj­po­memb­nej­še med njimi so:

  • -A: Izpiše vsebino paketa v obliki ASCII.
  • -c [Količina]: tcpdump se samodejno zaključi, ko je ana­li­zi­ra­no določeno število paketov.
  • -D: S to možnostjo se prikažejo vsi raz­po­lo­žlji­vi vmesniki.
  • -i [Vmesnik]: S to možnostjo določite, kateri vmesnik naj se snema.
  • -s [Količina]: Ta opcija določa, koliko bajtov naj se posname na paket.

Te filtre lahko uporabite za program tcpdump:

  • dst: Ana­li­zi­ra­jo se le paketi, katerih cilj ima določeno vrednost. To je lahko gostitelj, omrežje, vrata ali območje vrat.
  • host: Filter za­go­ta­vlja, da se upo­šte­va­jo le paketi, ki imajo določen IP-naslov ali pa določeno ime go­sti­te­lja kot vir ali cilj.
  • net: Ta filter upošteva le pakete, ki imajo kot vir ali cilj IP-naslov iz do­lo­če­ne­ga omrežnega območja.
  • port: Ta filter uporabite za določitev do­lo­če­ne­ga vrat med 0 in 65535, ki se ana­li­zi­ra­jo izključno.
  • portrange: Ta filter vsebuje območje vrat med 0 in 65535.
  • proto: Ta filter upošteva le pakete z določenim omrežnim pro­to­ko­lom. Filter lahko ima naslednje vrednosti: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp ali wlan.
  • src: Za analizo paketov na podlagi določenih meril, kot so gostitelj, omrežje, vrata ali območje vrat.

Primeri uporabe ukaza tcpdump

Na koncu vam bomo pokazali, kako upo­ra­blja­ti tcpdump. V naših primerih upo­ra­blja­mo ukaz sudo v sistemu Linux.

$ sudo tcpdump -D
bash

Preverite, kateri omrežni vmesniki so na voljo.

$ sudo tcpdump -i wlx14a3c782966b
bash

Ana­li­zi­raj samo vmesnik z navedenim imenom.

$ sudo tcpdump -c 5 -i wlx14a3c782966b
bash

S tem dosežete, da program tcpdump zajame le pet paketov.

Go to Main Menu