Příkaz tcpdump se také nazývá analyzátor paketů.
Příkaz tcpdump bude fungovat na většině variant unixového operačního systému. tcpdump nám umožňuje uložit zachycené pakety, abychom je mohli použít pro budoucí analýzu. Uložený soubor lze zobrazit stejným příkazem tcpdump. Ke čtení souborů tcpdump pcap můžeme také použít software s otevřeným zdrojovým kódem, jako je wireshark.
V tomto tutoriálu tcpdump si proberme několik praktických příkladů, jak používat příkaz tcpdump.
1. Zachyťte pakety z určitého ethernetového rozhraní pomocí tcpdump -i
Když spustíte příkaz tcpdump bez jakékoli volby, zachytí všechny pakety procházející všemi rozhraními. Volba -i s příkazem tcpdump vám umožňuje filtrovat na konkrétním ethernetovém rozhraní.
$ tcpdump -i eth1 14:59:26.608728 IP xx.domain.netbcp.net.52497 > valh4.lell.net.ssh: . ack 540 win 16554 14:59:26.610602 IP resolver.lell.net.domain > valh4.lell.net.24151: 4278 1/0/0 (73) 14:59:26.611262 IP valh4.lell.net.38527 > resolver.lell.net.domain: 26364+ PTR? 244.207.104.10.in-addr.arpa. (45)
V tomto příkladu tcpdump zachytil všechny toky paketů v rozhraní eth1 a zobrazí je ve standardním výstupu.
Poznámka :Nástroj Editcap se používá k výběru nebo odstranění konkrétních paketů ze souboru výpisu a jejich překladu do daného formátu.
2. Zachyťte pouze N počet paketů pomocí tcpdump -c
Když spustíte příkaz tcpdump, poskytuje pakety, dokud příkaz tcpdump nezrušíte. Pomocí volby -c můžete zadat počet paketů k zachycení.
$ tcpdump -c 2 -i eth0 listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 14:38:38.184913 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457255642:1457255758(116) ack 1561463966 win 63652 14:38:38.690919 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652 2 packets captured 13 packets received by filter 0 packets dropped by kernel
Výše uvedený příkaz tcpdump zachytil pouze 2 pakety z rozhraní eth0.
Poznámka: Mergecap a TShark:Mergecap je nástroj pro kombinování výpisu paketů, který spojí více výpisů do jednoho souboru výpisu. Tshark je výkonný nástroj pro zachycení síťových paketů, který lze použít k analýze síťového provozu. Dodává se s distribucí analyzátoru sítě wireshark.
3. Zobrazte zachycené pakety v ASCII pomocí tcpdump -A
Následující syntaxe tcpdump vytiskne paket v ASCII.
$ tcpdump -A -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:34:50.913995 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457239478:1457239594(116) ack 1561461262 win 63652
E.....@.@..]..i...9...*.V...]...P....h....E...>{..U=...g.
......G..7\+KA....A...L.
14:34:51.423640 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652
E.....@.@..\..i...9...*.V..*]...P....h....7......X..!....Im.S.g.u:*..O&....^#Ba...
E..(R.@.|.....9...i.*...]...V..*P..OWp........ Poznámka: Příkaz Ifconfig se používá ke konfiguraci síťových rozhraní
4. Zobrazte zachycené pakety v HEX a ASCII pomocí tcpdump -XX
Někteří uživatelé mohou chtít analyzovat pakety v hexadecimálních hodnotách. tcpdump poskytuje způsob, jak tisknout pakety ve formátu ASCII i HEX.
$tcpdump -XX -i eth0
18:52:54.859697 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 232 win 16511
0x0000: 0050 569c 35a3 0019 bb1c 0c00 0800 4500 .PV.5.........E.
0x0010: 0028 042a 4000 7906 c89c 10b5 aaf6 0f9a .(.*@.y.........
0x0020: 69c4 f999 0016 57db 6e08 c712 ea2e 5010 i.....W.n.....P.
0x0030: 407f c976 0000 0000 0000 0000 @..v........
18:52:54.877713 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]
0x0000: 0050 569c 35a3 0000 0000 0000 0800 4600 .PV.5.........F.
0x0010: 0024 0000 0000 0102 3ad3 0a00 0000 e000 .$......:.......
0x0020: 0001 9404 0000 1101 ebfe 0000 0000 0300 ................
0x0030: 0000 0000 0000 0000 0000 0000 ............ 5. Zachyťte pakety a zapište je do souboru pomocí tcpdump -w
tcpdump vám umožňuje uložit pakety do souboru a později můžete soubor paketů použít pro další analýzu.
$ tcpdump -w 08232010.pcap -i eth0 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 32 packets captured 32 packets received by filter 0 packets dropped by kernel
Volba -w zapíše pakety do daného souboru. Přípona souboru by měla být .pcap, kterou lze přečíst jakýmkoli síťovým protokolem
analyzátorem.
6. Čtení paketů z uloženého souboru pomocí tcpdump -r
Můžete si přečíst zachycený soubor pcap a zobrazit pakety pro analýzu, jak je uvedeno níže.
$tcpdump -tttt -r data.pcap
2010-08-22 21:35:26.571793 00:50:56:9c:69:38 (oui Unknown) > Broadcast, ethertype Unknown (0xcafe), length 74:
0x0000: 0200 000a ffff 0000 ffff 0c00 3c00 0000 ............<...
0x0010: 0000 0000 0100 0080 3e9e 2900 0000 0000 ........>.).....
0x0020: 0000 0000 ffff ffff ad00 996b 0600 0050 ...........k...P
0x0030: 569c 6938 0000 0000 8e07 0000 V.i8........
2010-08-22 21:35:26.571797 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 800464396:800464448(52) ack 203316566 win 71
2010-08-22 21:35:26.571800 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 52:168(116) ack 1 win 71
2010-08-22 21:35:26.584865 IP valh5.lell.net.ssh > 11.154.12.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC 7. Zachyťte pakety s IP adresou pomocí tcpdump -n
Ve všech výše uvedených příkladech tiskne pakety s adresou DNS, ale ne s adresou IP. Následující příklad zachycuje pakety a zobrazí IP adresy zúčastněných počítačů.
$ tcpdump -n -i eth0 15:01:35.170763 IP 10.0.19.121.52497 > 11.154.12.121.ssh: P 105:157(52) ack 18060 win 16549 15:01:35.170776 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 23988:24136(148) ack 157 win 113 15:01:35.170894 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 24136:24380(244) ack 157 win 113
8. Zachyťte pakety se správným čitelným časovým razítkem pomocí tcpdump -tttt
$ tcpdump -n -tttt -i eth0 2010-08-22 15:10:39.162830 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 49800 win 16390 2010-08-22 15:10:39.162833 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50288 win 16660 2010-08-22 15:10:39.162867 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50584 win 16586
9. Čtení paketů delších než N bajtů
Pomocí příkazu tcpdump můžete přijímat pouze pakety větší než n bajtů pomocí „většího“ filtru
$ tcpdump -w g_1024.pcap greater 1024
10. Přijímat pouze pakety určitého typu protokolu
Pakety můžete přijímat na základě typu protokolu. Můžete zadat jeden z těchto protokolů — fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp a udp. Následující příklad zachycuje pouze pakety arp procházející rozhraním eth0.
$ tcpdump -i eth0 arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:41:52.809642 arp who-has valh5.lell.net tell valh9.lell.net 19:41:52.863689 arp who-has 11.154.12.1 tell valh6.lell.net 19:41:53.024769 arp who-has 11.154.12.1 tell valh7.lell.net
11. Číst pakety menší než N bajtů
Pomocí příkazu tcpdump můžete přijímat pouze pakety menší než n bajtů pomocí filtru „méně“
$ tcpdump -w l_1024.pcap less 1024
12. Přijímat toky paketů na konkrétním portu pomocí tcpdump port
Pokud chcete znát všechny pakety přijaté konkrétním portem na počítači, můžete použít příkaz tcpdump, jak je ukázáno níže.
$ tcpdump -i eth0 port 22 19:44:44.934459 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 18932:19096(164) ack 105 win 71 19:44:44.934533 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19096:19260(164) ack 105 win 71 19:44:44.934612 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19260:19424(164) ack 105 win 71
13. Zachyťte pakety pro konkrétní cílovou IP a port
Pakety budou mít zdrojovou a cílovou IP a čísla portů. Pomocí tcpdump můžeme aplikovat filtry na zdrojovou nebo cílovou IP a číslo portu. Následující příkaz zachycuje toky paketů v eth0 s konkrétní cílovou IP a číslem portu 22.
$ tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22
14. Zachycení komunikačních paketů TCP mezi dvěma hostiteli
Pokud dva různé procesy ze dvou různých počítačů komunikují prostřednictvím protokolu tcp, můžeme tyto pakety zachytit pomocí tcpdump, jak je uvedeno níže.
$tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22
Soubor comm.pcap můžete otevřít pomocí libovolného nástroje pro analýzu síťových protokolů a odladit případné problémy.
15. tcpdump Filtrovat pakety – Zachyťte všechny pakety kromě arp a rarp
V příkazu tcpdump můžete zadat podmínku „a“, „nebo“ a „ne“, aby se pakety podle toho filtrovaly.
$ tcpdump -i eth0 not arp and not rarp 20:33:15.479278 IP resolver.lell.net.domain > valh4.lell.net.64639: 26929 1/0/0 (73) 20:33:15.479890 IP valh4.lell.net.16053 > resolver.lell.net.domain: 56556+ PTR? 255.107.154.15.in-addr.arpa. (45) 20:33:15.480197 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 540:1504(964) ack 1 win 96 20:33:15.487118 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 540 win 16486 20:33:15.668599 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]