Phenquestions
“Tcpdump” är en paketanalysator och används för att diagnostisera och analysera nätverksproblem. Den fångar upp nätverkstrafiken genom din enhet och tittar över den. Verktyget “tcpdump” är ett kraftfullt verktyg för att felsöka nätverksproblem. Den kommer med många alternativ, vilket gör det till ett mångsidigt kommandoradsverktyg för att åtgärda nätverksproblem.
Det här inlägget är en detaljerad guide om "tcpdump" -verktyget som inkluderar dess installation, vanliga funktioner och användning med olika alternativ. Låt oss börja med installationen:
Hur man installerar “tcpdump”:
I många distributioner kommer "tcpdump" ur lådan, och för att kontrollera det, använd:
$ vilken tcpdump
Om det inte finns i din distribution installerar du det med:
$ sudo apt installera tcpdumpOvanstående kommando kommer att användas för Debian-baserade distributioner som Ubuntu och LinuxMint. För "Redhat" och "CentOS", använd:
$ sudo dnf installera tcpdumpHur man fångar paket med tcpdump:
Olika gränssnitt kan användas för att fånga paket. För att få en lista över gränssnitt, använd:
$ sudo tcpdump -D
Eller använd bara "valfri" med kommandot "tcpdump" för att hämta paket från det aktiva gränssnittet. För att börja använda paketfångst:
$ sudo tcpdump - gränssnitt någon
Ovanstående kommando spårar paket från alla aktiva gränssnitt. Paketen kommer kontinuerligt att fångas tills det får ett avbrott från användaren (ctrl-c).
Vi kan också begränsa antalet paket som ska fångas med "-c" -flaggan som betyder "räkningen.”För att fånga 3 paket, använd:
$ sudo tcpdump -i någon -c3
Ovanstående kommando är användbart för att filtrera ett specifikt paket. Dessutom kräver felsökning av anslutningsproblemen bara några få inledande paket.
”tcpdump”-Kommandot fångar paket med IP- och portnamn som standard men för att rensa, röra och göra utdata lättare att förstå; namnen kan inaktiveras med “-n”Och”-nn”För portalternativet:
$ sudo tcpdump -i vilken som helst -c3 -nn
Som visas i ovanstående utdata har IP- och portnamnen tagits bort.
Hur man förstår information om ett fångat paket:
För att lära dig mer om de olika fälten i ett fångat paket, låt oss ta ett exempel på ett TCP-paket:
Ett paket kan ha olika fält, men de allmänna visas ovan. Det första fältet, “09:48:18.960683,”Representerar en tid då paketet tas emot. Därefter kommer IP-adresser; den första IP-adressen [216.58.209.130] är IP-källan och den andra IP [10.0.2.15.55812] är destinations-IP: n. Då får du flaggan [P.]; en lista med typiska flaggor ges nedan:
| Flagga | Typ | Beskrivning |
| “.” | ACK | Betecknar bekräftelse |
| S | SYN | Flagga för att starta en anslutning |
| F | FENA | Flagga för en stängd anslutning |
| P | SKJUTA PÅ | Indikerar push av data från avsändaren |
| R | RST | Anslutning återställd |
Och nästa kommer sekvensnummer “seq 185: 255”. Klienten och servern använder båda 32-bitars sekvensnummer för att underhålla och övervaka data.
”ack”Är en flagga; om det är 1 betyder det att kvittensnummer är giltigt och mottagaren förväntar sig nästa byte.
Fönstrets nummer anger buffertstorleken. “vinna 65535”Betyder mängden data som kan buffras.
Och till slut kommer längden [70] av paketet i byte vilket är en skillnad på “185: 255”.
Filtrera paket för att åtgärda nätverksproblemen:
”Tcpdump” -verktyget fångar in hundratals paket, och de flesta av dem är av mindre betydelse vilket gör det mycket komplicerat att få önskad information för felsökning. I det här fallet kommer filtreringen att spela sin roll. Till exempel, när du felsöker om du inte är intresserad av en viss typ av trafik, kan du filtrera den med "tcpdump", som levereras med filtreringspaket enligt IP-adresser, portar och protokoll.
Så här fångar du ett paket med värdnamn med tcpdump-kommando:
För att få paketet endast från en viss värd, använd:
$ sudo tcpdump -i vilken som helst -c4-värd 10.0.2.15
Om du bara vill få enkelriktad trafik, använd sedan “src”Och”dst”Alternativ i stället för“värd.”
Hur man fångar ett paket med portnummer med tcpdump-kommando:
För att filtrera paket med portnumret, använd:
$ sudo tcpdump -i vilken som helst -c3 -nn-port 443
"443" är HTTPS-portnumret.
Så här fångar du ett paket med protokollet med tcpdump-kommandot:
Med kommandot “tcpdump” kan du filtrera paket enligt något protokoll som udp, icmp, arp, etc. Skriv bara protokollnamnet:
$ sudo tcpdump -i någon -c6 udp
Ovanstående kommandon fångar endast paket som tillhör protokollet “udp”.
Så här kombinerar du filtreringsalternativ med logiska operatorer:
Olika filtreringsalternativ kan kombineras med hjälp av logiska operatorer som “och / eller”:
$ sudo tcpdump -i vilken som helst -c6 -nn värd 10.0.2.15 och port 443
Hur man lagrar fångad data:
De hämtade uppgifterna kan sparas i en fil för att övervaka den senare, och för att "-w" alternativet kommer att användas, och "w" betyder "skriv":
$ sudo tcpdump -i alla -c5 -w packetData.pcap
Förlängningen av filen skulle vara “.pcap, "som står för" packet capture.”När inspelningen är klar sparas filen på din lokala enhet. Den här filen kan inte öppnas eller läsas med något textredigeringsprogram. För att läsa den, använd-r”Flagga med“ tcpdump ”:
$ tcpdump -r packetData.pcap
Slutsats:
“Tcpdump” är ett värdefullt och flexibelt verktyg för att fånga och analysera nätverkstrafik för att felsöka nätverksproblem. Denna guides uppmärksamhet är att lära sig den grundläggande och avancerade användningen av kommandoradsverktyget “tcpdump”. Men om du tycker det är svårt finns det ett mindre komplext GUI-baserat program som heter "Wireshark", som gör ungefär samma jobb men med olika ytterligare funktioner.
