Phenquestions
De "tcpdump" is een pakketanalysator en wordt gebruikt om netwerkproblemen te diagnosticeren en te analyseren. Het registreert het netwerkverkeer dat door uw apparaat gaat en kijkt eroverheen. De tool "tcpdump" is een krachtig hulpmiddel om netwerkproblemen op te lossen. Het wordt geleverd met veel opties, waardoor het een veelzijdig opdrachtregelprogramma is om netwerkproblemen op te lossen.
Dit bericht is een gedetailleerde gids over het hulpprogramma "tcpdump", inclusief de installatie, algemene functies en gebruik met verschillende opties. Laten we beginnen met de installatie:
Hoe "tcpdump" te installeren:
In veel distributies komt de "tcpdump" uit de doos en om het te controleren, gebruikt u:
$welke tcpdump
Als het niet in uw distributie wordt gevonden, installeer het dan met:
$sudo apt install tcpdumpDe bovenstaande opdracht wordt gebruikt voor op Debian gebaseerde distributies zoals Ubuntu en LinuxMint. Gebruik voor "Redhat" en "CentOS":
$sudo dnf installeer tcpdumpPakketten vastleggen met tcpdump:
Er kunnen verschillende interfaces worden gebruikt om pakketten vast te leggen. Gebruik om een lijst met interfaces te krijgen:
$sudo tcpdump -D
Of gebruik gewoon "any" met de opdracht "tcpdump" om pakketten van de actieve interface te krijgen. Om te beginnen met het vastleggen van pakketten:
$sudo tcpdump --interface willekeurig
De bovenstaande opdracht traceert pakketten van alle actieve interfaces. De pakketten worden continu gepakt totdat het een onderbreking van de gebruiker krijgt (ctrl-c).
We kunnen ook het aantal te vangen pakketten beperken met behulp van de "-c" vlag die de "count" betekent.Gebruik om 3 pakketten vast te leggen:
$sudo tcpdump -i elke -c3
Het bovenstaande commando is handig om een specifiek pakket te filteren. Bovendien vereist het oplossen van verbindingsproblemen slechts een paar initiële pakketten om te worden vastgelegd.
De "tcpdump”-commando legt standaard pakketten vast met IP- en poortnamen, maar om de rommel op te ruimen en de uitvoer gemakkelijker te begrijpen te maken; de namen kunnen worden uitgeschakeld met "-nee” en “-nn” voor de poortoptie:
$sudo tcpdump -i elke -c3 -nn
Zoals te zien is in de bovenstaande uitvoer, zijn de IP- en poortnamen verwijderd.
Informatie over een vastgelegd pakket begrijpen:
Om meer te weten te komen over de verschillende velden van een vastgelegd pakket, nemen we een voorbeeld van een TCP-pakket:
Een pakket kan verschillende velden hebben, maar de algemene worden hierboven weergegeven. Het eerste veld, “09:48:18.960683,” staat voor een tijdstip waarop het pakket wordt ontvangen. Vervolgens komen IP-adressen; het eerste IP-adres [216.58.209.130] is het bron-IP en het tweede IP [10.0.2.15.55812] is het bestemmings-IP. Dan krijg je de vlag [P.]; een lijst met typische vlaggen wordt hieronder gegeven:
| Vlag | Type | Omschrijving |
| “.” | ACK | Betekent erkenning |
| S | SYN | Vlag voor het starten van een verbinding |
| F | VIN | Vlag voor een gesloten verbinding |
| P | DUWEN | Geeft de push van gegevens van de afzender aan |
| R | RST | Verbinding resetten |
En daarna komt het volgnummer "volgende 185:255”. De client en server gebruiken beide het 32-bits volgnummer om gegevens te onderhouden en te bewaken.
De "ack” is een vlag; als het 1 is, betekent dit dat het bevestigingsnummer geldig is en dat de ontvanger de volgende byte verwacht.
Het vensternummer geeft de buffergrootte aan. “win 65535” betekent de hoeveelheid gegevens die kan worden gebufferd.
En uiteindelijk komt de lengte [70] van het pakket in bytes, wat een verschil is van "185:255”.
Pakketten filteren om de netwerkproblemen op te lossen:
De tool "tcpdump" vangt honderden pakketten op, en de meeste zijn van minder belang, wat het veel complexer maakt om de gewenste informatie voor het oplossen van problemen te krijgen. In dit geval zal de filtering zijn rol spelen. Tijdens het oplossen van problemen als u niet geïnteresseerd bent in een bepaald type verkeer, kunt u het bijvoorbeeld filteren met "tcpdump", dat wordt geleverd met filterpakketten op basis van de IP-adressen, poorten en protocollen.
Een pakket vastleggen met hostnaam met de opdracht tcpdump:
Om het pakket alleen van een specifieke host te krijgen, gebruikt u:
$sudo tcpdump -i elke -c4 host 10.0.2.15
Als u alleen eenrichtingsverkeer wilt, gebruik dan "src” en “dst” opties in de plaats van “gastheer.”
Een pakket vastleggen met behulp van het poortnummer met de opdracht tcpdump:
Om pakketten met het poortnummer te filteren, gebruikt u:
$sudo tcpdump -i elke -c3 -nn poort 443
De "443" is het HTTPS-poortnummer.
Een pakket vastleggen met behulp van het protocol met de opdracht tcpdump:
Met de opdracht "tcpdump" kunt u pakketten filteren volgens elk protocol zoals udp, icmp, arp, enz. Typ gewoon de protocolnaam:
$sudo tcpdump -i elke -c6 udp
De bovenstaande opdrachten vangen alleen pakketten op die behoren tot het "udp" -protocol.
Filteropties combineren met logische operatoren:
Verschillende filteropties kunnen worden gecombineerd met behulp van logische operatoren zoals "en/of":
$sudo tcpdump -i elke -c6 -nn host 10.0.2.15 en poort 443
Hoe vastgelegde gegevens op te slaan:
De verzamelde gegevens kunnen worden opgeslagen in een bestand om het later te controleren, en daarvoor wordt de optie "-w" gebruikt, en "w" betekent "schrijven":
$sudo tcpdump -i elke -c5 -w packetData.pcap
De extensie van het bestand zou zijn “.pcap", wat staat voor "packet capture".” Zodra het vastleggen is voltooid, wordt het bestand opgeslagen op uw lokale schijf. Dit bestand kan niet worden geopend of gelezen met een teksteditorprogramma. Om het te lezen, gebruik de “-r” vlag met “tcpdump”:
$tcpdump -r packetData.pcap
Conclusie:
De "tcpdump" is een waardevol en flexibel hulpmiddel om netwerkverkeer vast te leggen en te analyseren om netwerkproblemen op te lossen. Het aandachtspunt van deze handleiding is om het basis- en geavanceerde gebruik van het opdrachtregelprogramma "tcpdump" te leren. Maar als je het moeilijk vindt, dan is er een minder complex GUI-gebaseerd programma genaamd "Wireshark", dat vrijwel hetzelfde werk doet, maar met verschillende extra functies.
