So verwenden Sie tcpdump, um unser Netzwerk zu überwachen

Inhaltsverzeichnis

In diesem Tutorial werden wir sehen wie man mit tcpdump arbeitet. Es ist ein Open-Source-Tool für die Befehlszeile, es wird verwendet, um Überwachen Sie das Netzwerk, können wir es als Analyse von Paketen verstehen, die das Netzwerk passieren, in dem Sie das Programm ausführen. Es wird in Unix-Umgebungen verwendet, obwohl es eine Variante für Windows namens WinDump gibt. Ein Tutorial zu EtherApe könnte für Sie von Interesse sein, das ein Werkzeug ist, um den Status unseres Netzwerks grafisch zu sehen.

Im Tutorial werden wir unter Linux arbeiten, insbesondere in Ubuntu 16.04, damit das Tool funktioniert, müssen wir es mit hohen Berechtigungen ausführen, mit Ausnahme bestimmter Optionen, die erforderlich sind.

Wir können benutzen tcpdump für verschiedene Aufgaben, wie das Debuggen unserer Netzwerkanwendungen, das Lesen der Daten, die zwischen Benutzern über das Netzwerk, in dem wir uns befinden, gesendet werden usw. Wir werden seine Syntax unten setzen:

 tcpdump [-aAbdDefhHIJKlLnNopqRStuUvxX #] [-B Größe] [-c Anzahl] [-C Dateigröße] [-E etwas: Geheimnis] [-F Datei] [-G Sekunden] [-i Schnittstelle] [-j tstamptype] [- M geheim] [--number] [-Q in | out | inout] [-r file] [-s snaplen] [--time-stamp-precision precision] [--immediate-mode] [-T type] [ --version] [-V Datei] [-w Datei] [-W Dateianzahl] [-y Datenlinktyp] [-z Befehl] [-Z Benutzer] [Ausdruck]
Dieses Tool hat eine große Anzahl von Parametern, die wir verwenden können, hier werden wir einige sehen.

Einige tcpdump-Parameter

  • -ZU: Drucken Sie die Pakete im ASCII-Code.
  • -x: Gibt die Pakete hexadezimal aus.
  • -D: Zeigt verfügbare Schnittstellen an.
  • -C number: Das Programm wird geschlossen, wenn die angegebene Anzahl von Paketen erfasst wurde.
  • -ich Schnittstelle: Das Programm lauscht auf der angegebenen Schnittstelle.
  • -ICH: Versetzt die Schnittstelle in den Monitormodus.
  • -P: Die Schnittstelle wird nicht in den Promiscuous-Modus versetzt.
  • -f Datei: Die Ausgabe wird in der von uns angegebenen Datei gespeichert.
  • -h: Zeigt Hilfe zur Verwendung an.

Wenn wir alle verfügbaren Parameter sehen möchten, verwenden wir unter Linux:

 Mann tcpdump
Die Verwendung dieses Befehls ist vollständiger als die Hilfe des Parameters -h oder --Hilfe, die uns nur Folgendes zeigen würde:

Wir werden 10 Beispiele sehen, um mit diesem leistungsstarken Tool zu beginnen.

NotizIn fast allen Beispielen werden Sie sehen, dass sudo vor tcpdump verwendet wird. Wie bereits erwähnt, ist es notwendig, es mit hohen Privilegien zu starten. Wenn Sie das Terminal als Root verwenden, ist es nicht erforderlich, etwas vor tcpdump zu setzen. Wenn Sie die Aufnahme stoppen möchten, können Sie die Tasten kombinieren:

STRG + C

Beispiel 1
Das einfachste Beispiel mit dem Parameter -ZU. Dazu führen wir aus:

 tcpdump -A

Sehen wir uns ein Beispiel mit etwas mehr Inhalt an.

Beispiel 2
Jetzt filtern wir nach Host und fügen den ausführlichen Modus mit dem Parameter . hinzu -v:

 sudo tcpdump host 192.168.66.130 -v
Unten ist ein Bild mit dem obigen Befehl:

Für das Bild habe ich einen Ping von einem anderen Computer gemacht, damit wir ICMP sehen können. Kommen wir zum dritten Beispiel.

Beispiel 3
In diesem Beispiel schauen wir uns die Pakete vom gleichen Host an, diesmal nur die Pakete, die mit Port 80 zu tun haben:

 sudo tcpdump host 192.168.66.130 und Port 80 -v
Wenn wir uns die Aufnahme ansehen, sehen wir etwas Ähnliches wie folgt:

Sie können sehen, wie einfach dieses Tool zu handhaben ist, lassen Sie uns weitermachen.

Beispiel 4
Wir werden Beispiel 3 verwenden und es ändern. Wir möchten die Pakete mit dem Ursprung 192.168.66.130 filtern, die an Port 80 gehen:

 sudo tcpdump src host 192.168.66.130 und dst port 80 -v
Wir sehen, dass wir die Bedingung verwendet haben, und damit die beiden Bedingungen erfüllt sind, können wir auch oder verwenden, wenn wir nur eine davon erfüllen wollen. Wenn wir uns die Screenshots ansehen, sehen wir eine POST-Anfrage.

Wir kommen zum fünften Beispiel.

Beispiel 5
Wir werden Pakete erfassen, die eine Schnittstelle angeben:

 sudo tcpdump -i ens33
NotizIhre Schnittstelle ist wahrscheinlich eth0, Sie können es mit dem ifconfig-Befehl sehen, aber auch mit dem -D-Parameter von tcpdump wird es für uns funktionieren, wir werden es im folgenden Beispiel sehen.

Unten sehen Sie ein Bild der Aufnahme.

Gehen wir zum nächsten.

Beispiel 6
In diesem Beispiel zeigen wir nur die verfügbaren Schnittstellen an, dazu führen wir Folgendes aus:

 tcpdump -D
In diesem Fall ist es nicht erforderlich, root zu sein.

Lass uns weitermachen.

Beispiel 7
Wir möchten 3 Pakete erfassen, die für Port 1987 bestimmt sind, und wenn dies auftritt, stoppen Sie das Programm:

 sudo tcpdump -c 3 dst port 1987
Im folgenden Bild können wir sehen, dass nur 3 Pakete erfasst werden:

Sehen wir uns noch ein paar Beispiele an.

Beispiel 8
Wenn wir daran interessiert sind, alle TCP-Verkehrspakete zu erhalten, die nicht zu einem bestimmten Port gehen, zum Beispiel Port 80, führen wir Folgendes aus:

 sudo tcpdump nicht port 80 und tcp
Die Ausgabe ist ähnlich, daher wird in diesem Beispiel keine Erfassung eingestellt. Nehmen wir das vorletzte Beispiel.

Beispiel 9
Wir werden 2 Pakete einer bestimmten Schnittstelle erfassen und sie im hexadezimalen Format anzeigen, dazu müssen wir Folgendes ausführen:

 sudo tcpdump -i ens33 -x -c 2
Unten sehen Sie die Ausgabe:

Kommen wir nun zum letzten Beispiel des Tutorials.

Beispiel 10
In diesem Beispiel speichern wir das Capture in einer Datei, um es später anzuzeigen. Die Erfassung ist auf 3 Pakete beschränkt und eine Schnittstelle ist angegeben, daher führen wir Folgendes aus:

 sudo tcpdump -w test.pcap -i ens33 -c 3
Sehen wir uns einen Screenshot an:

Wenn wir diese Datei jetzt lesen möchten, müssen wir Folgendes ausführen:

 tcpdump -r test.pcap
Wir können es im folgenden Bild sehen:

Das Tutorial zu tcpdump ist so weit gekommen, es hat viele Möglichkeiten und viele Optionen. Um also den Umgang mit diesem Tool zu erlernen, ist es am besten, alle seine Funktionen nach und nach zu üben und zu entdecken. Sie könnten auch daran interessiert sein, etwas über das Netcat-Tool zu lesen, daher ist hier ein Link zu einem Tutorial mit Beispielen:

So verwenden Sie netcat

Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben
wave wave wave wave wave