12 TCPDump -Befehle - Ein Netzwerk -Sniffer -Tool

12 TCPDump -Befehle - Ein Netzwerk -Sniffer -Tool

In unserem vorherigen Artikel haben wir 20 NetStat -Befehle gesehen (Netstat jetzt durch den Befehl SS ersetzt), um ein Linux -Netzwerk zu überwachen oder zu verwalten. Dies ist unsere weitere laufende Reihe von Paket -Sniffer -Tool namens tcpdump. Hier zeigen wir Ihnen, wie Sie installieren tcpdump Und dann diskutieren wir einige nützliche Befehle mit ihren praktischen Beispielen.

Linux TCPDump -Befehlsbeispiele

tcpdump ist ein sehr leistungsstarkes und weit verbreitetes Befehlsleitungspaket-Pakete oder Paketanalysator-Tool, mit dem zum Erfassen oder Filter verwendet wird TCP/IP Pakete, die auf einer bestimmten Schnittstelle empfangen oder über ein Netzwerk übertragen werden.

[Möglicherweise mögen Sie es auch: 16 nützliche Tools für Bandbreitenüberwachung zur Analyse der Netzwerknutzung unter Linux]

Es ist unter den meisten der meisten erhältlich Linux/Unix-basiert Betriebssysteme. TCPDump gibt uns auch die Möglichkeit, erfasste Pakete in einer Datei für die zukünftige Analyse zu speichern. Es speichert die Datei in a PCAP Format, das mit dem Befehl TCPDump oder einem Open-Source-GUI-basierten Tool namens Wireshark (Netzwerkprotokollanalysator) angesehen werden kann, das TCPDump liest PCAP Formatdateien.

So installieren Sie TCPDump unter Linux

Viele Linux -Verteilungen, die bereits mit dem geliefert wurden tcpdump Tool, wenn Sie es nicht auf einem System haben, können Sie es mit einem der folgenden Befehle installieren.

$ sudo apt-get install tcpdump [on Debian, Ubuntu und Minze] $ sudo yum install tcpdump [on Rhel/Centos/Fedora Und Rocky Linux/Almalinux] $ sudo entsteht -a sys -apps/tcpdump [on Gentoo Linux] $ sudo pacman -s tcpdump [auf Arch Linux] $ sudo zypper install tcpdump [on OpenSuse] 

Erste Schritte mit TCPDump -Befehlsbeispielen

Einmal der tcpdump Das Tool ist in Ihrem System installiert. Sie können mit ihren Beispielen weiterhin folgende Befehle durchsuchen.

1. Erfassen Sie Pakete von einer bestimmten Schnittstelle aus

Der Befehlsbildschirm wird nach oben scrollen, bis Sie unterbrechen und wenn wir die ausführen tcpdump Befehl Es erfasst es von allen Schnittstellen, jedoch mit -ich Switch Only Capture von der gewünschten Schnittstelle.

# TCPDUMP -i Eth0 TCPDUMP: VERBOSE AUSGABE VERBRAUT, Verwenden Sie -v oder -VV für das vollständige Protokoll -Decodieren. Hören Sie ETH0, Link -Typ EN10MB (Ethernet), Capture -Größe 65535 Bytes 11:33:31.976358 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 3500440357: 3500440553, ACK 3652628334, Win 18760, Länge 196 11:33:31.976603 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 196, Gewinn 64487, Länge 0 11:33:31.977243 ARP, Anfragen Sie Who tecmint an,.com Tell 172.16.25.126, Länge 28 11:33:31.977359 ARP, Antwort Tecmint.com is-at 00: 14: 5e: 67: 26: 1d (oui unbekannt), Länge 46 11:33:31.977367 IP 172.16.25.126.54807> Tecmint.com: 4240+ ptr? 125.25.16.172.In-Addr.ARPA. (44) 11:33:31.977599 IP Tecmint.com> 172.16.25.126.54807: 4240 NxDomain 0/1/0 (121) 11:33:31.977742 IP 172.16.25.126.44519> Tecmint.com: 40988+ ptr? 126.25.16.172.In-Addr.ARPA. (44) 11:33:32.028747 IP 172.16.20.33.Netbios-NS> 172.16.31.255.NetBIOS-NS: NBT UDP-Paket (137): Abfrage; ANFRAGE; Sendung 11:33:32.112045 IP 172.16.21.153.Netbios-NS> 172.16.31.255.NetBIOS-NS: NBT UDP-Paket (137): Abfrage; ANFRAGE; Sendung 11:33:32.115606 IP 172.16.21.144.Netbios-NS> 172.16.31.255.NetBIOS-NS: NBT UDP-Paket (137): Abfrage; ANFRAGE; Sendung 11:33:32.156576 ARP, Anfrage, wer 172 ist.16.16.37 Erzählen Sie Old-OracleHP1.Midcorp.Mittag.com, Länge 46 11:33:32.348738 IP Tecmint.com> 172.16.25.126.44519: 40988 NxDomain 0/1/0 (121)

2. Erfassen Sie nur n Anzahl von Paketen

Wenn Sie die ausführen tcpdump Befehl Es wird alle Pakete für die angegebene Schnittstelle erfasst, bis Sie Schlag die Schaltfläche Abbrechen. Aber benutze -C Option können Sie eine bestimmte Anzahl von Paketen erfassen. Das folgende Beispiel wird nur erfassen 6 Pakete.

# TCPDUMP -C 5 -I ETH0 TCPDUMP: VERBOSE -Ausgang unterdrückt, verwenden.281355 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 3500447285: 3500447481, ACK 3652629474, Win 18760, Länge 196 11:40:20.281586 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 196, Gewinn 65235, Länge 0 11:40:20.282244 ARP, Anfragen Sie WHO TECMINT-.com Tell 172.16.25.126, Länge 28 11:40:20.282360 ARP, Antwort Tecmint.com is-at 00: 14: 5e: 67: 26: 1d (oui unbekannt), Länge 46 11:40:20.282369 IP 172.16.25.126.53216> Tecmint.com.Domäne: 49504+ PTR? 125.25.16.172.In-Addr.ARPA. (44) 11:40:20.332494 IP Tecmint.com.Netbios-SSN> 172.16.26.17.Nimaux: Flaggen [P.], SEQ 3058424861: 3058424914, ACK 693912021, Win 64190, Länge 53 NBT -Sitzungspaket: Sitzungsnachricht 6 Pakete erfasst 23 Pakete, die vom Filter 0 Pakete erhalten wurden, die vom Kernel fallen gelassen wurden

3. Drucken Sie erfasste Pakete in ASCII aus

Das untere tcpdump Befehl mit der Option -A Zeigt das Paket in an ASCII Format. Es ist ein Zeichenkodierschema-Format.

# tcpdump -a -i Eth0 TCPDUMP: VERBOSE AUSGABE UNTERSCHALTEN, verwenden.347508 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], seq 3329372346: 3329372542, ACK 4193416789, Win 17688, Länge 196 m.R0… VUP.E.X… ~.%…> N… OFK… KQ…) EQ.D.,… R^l… m \ [E -Mail geschützt] _… j… ich.*… 2f.MQH… q.C… 6… 9.v.G / b4.).Uicy]… 9… x.)… Z.Xf… '|… e… m… u.5… UL 09:31:31.347760 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flaggen [.], ACK 196, Gewinn 64351, Länge 0 m… Vu.r1 ~ p… ​​_… ^C09: 31: 31.349560 IP 192.168.0.2.46393> b.Resolver.Stufe 3.Netz.Domäne: 11148+ PTR? 1.0.168.192.In-Addr.ARPA. (42) [E -Mail geschützt]@… 9.5.2.f+… 1.0.168.192.In-Addr.ARPA… 3 Pakete, die 11 Pakete erfasst wurden, die mit Filter 0 Paketen vom Kernel fallen gelassen wurden

4. Zeigen Sie verfügbare Schnittstellen an

Um die Anzahl der verfügbaren Schnittstellen im System aufzulisten, führen Sie den folgenden Befehl mit mit -D Möglichkeit.

# tcpdump -d 1.Eth0 2.Eth1 3.USBMON1 (USB -Bus Nummer 1) 4.USBMON2 (USB -Bus Nummer 2) 5.USBMON3 (USB -Bus Nummer 3) 6.USBMON4 (USB -Bus Nummer 4) 7.USBMON5 (USB -Bus Nummer 5) 8.Jeder (Pseudo-Gerät, das an allen Schnittstellen festhält) 9.LO

5. Display erfasste Pakete in Hex und ASCII

Der folgende Befehl mit Option -Xx Erfassen Sie die Daten jedes Pakets, einschließlich des Header Level Level -Header in VERHEXEN Und ASCII Format.

# tcpdump -xx -i Eth0 11:51:18.974360 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.].W… l… h… e. 0x0010: 00ec 8783 4000 4006 275d AC10 197E AC10 [E -Mail geschützt]@.']… ~… 0x0020: 197d 0016 1129 D12A AF51 D9B6 D5EE 5018 .…).*.Q… p. 0x0030: 4948 8BFA 0000 0E12 EA4D 22D1 67C0 F123 IH ... M ".G… # 0x0040: 9013 8F68 AA70 29F3 2EFC C512 5660 4FE8… H.p)… v'o. 0x0050: 590A D631 F939 DD06 E36A 69ED CAC2 95B6 Y… 1.9… ji… 0x0060: f8ba b42a 344b 8e56 a5c4 b3a2 ed82 c3a1… *4k.V… 0x0070: 80C8 7980 11AC 9BD7 5B01 18d5 8180 4536… y… [… E6 0x0080: 30fd 4f6d 4190 F66F 2E24 E877 ED23 8EB0 0 0 0.Oma ... o.$.w.#… 0x0090: 5A1D F3EC 4BE4 E0FB 8553 7C85 17D9 866F Z… K… S |… o 0x00A0: C279 0D9C 8F9D 445B 7B01 81EB 1B63 7F12 .y… D[… c… 0x00b0: 71b3 1357 52c7 cf00 95c6 c9f6 63b1 ca51 q… WR… c… Q 0x00c0: 0ac6 456e 0620 38e6 10cb 6139 fb2a a756… En… 8… a9.*.V 0x00D0: 37d6 C5F3 F5F3 D8E8 3316 D14F D7AB FD93 7… 3… O… 0x00E0: 1137 61C1 6A5C B4D1 DDDA 380A F782 D983 .7a.J \… 8… 0x00f0: 62ff A5A9 BB39 4F80 668A B… 9o.F. 11:51:18.974759 IP 172.16.25.126.60952> MDDC-01.Midcorp.Mittag.com.Domäne: 14620+ PTR? 125.25.16.172.In-Addr.ARPA. (44) 0x0000: 0014 5E67 261d 0001 6c99 1468 0800 4500… ^G &… L… H… E. 0x0010: 0048 5A83 4000 4011 5E25 AC10 197E AC10 [E -Mail geschützt]@.^%… ~… 0x0020: 105e EE18 0035 0034 8242 391c 0100 0001 .^… 5.4.B9… 0x0030: 0000 0000 0000 0331 3235 0232 3502 3136… 125.25.16 0x0040: 0331 3732 0769 6e2d 6164 6472 0461 7270 .172.In-Addr.ARP 0x0050: 6100 000C 0001 A… 

6. Erfassen und speichern Sie Pakete in einer Datei

Wie gesagt, das tcpdump hat eine Funktion zum Erfassen und Speichern der Datei in a .PCAP Format, um dies zu tun, um den Befehl einfach mit auszuführen -w Möglichkeit.

# TCPDUMP -W 0001.PCAP -i Eth0 TCPDUMP: Zuhören von ETH0, Link-Typ EN10MB (Ethernet), Erfassungsgröße 65535 Bytes 4 Pakete 4 Pakete, die vom Filter 0 Pakete erhalten wurden, die vom Kernel fallen gelassen wurden

7. Lesen Sie die erfasste Paketdatei

Zum Lesen und Analysieren des erfassten Pakets 0001.PCAP Datei Verwenden Sie den Befehl mit -R Option, wie unten gezeigt.

# tcpdump -r 0001.PCAP Lesen aus Datei 0001.PCAP, Link-Typ EN10MB (Ethernet) 09:59:34.839117 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], SEQ 3353041614: 3353041746, ACK 4193563273, Gewinn 18760, Länge 132 09:59:34.963022 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flaggen [.], ACK 132, Win 65351, Länge 0 09:59:36.935309 IP 192.168.0.1.Netbios-DGM> 192.168.0.255.Netbios-DGM: NBT UDP-Paket (138) 09:59:37.528731 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flaggen [P.], Seq 1:53, ACK 132, Gewinn 65351, Länge 5

8. IP -Adresspakete erfassen

Um Pakete für eine bestimmte Schnittstelle zu erfassen, führen Sie den folgenden Befehl mit Option aus -N.

# tcpdump -n -i Eth0 TCPDUMP: VERBOSE AUSGABE UNTERSCHALT, Verwenden.952358 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 3509512873: 3509513069, ACK 3652639034, Gewinn 18760, Länge 196 12:07:03.952602 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 196, Gewinn 64171, Länge 0 12:07:03.953311 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], Seq 196: 504, ACK 1, Gewinn 18760, Länge 308 12:07:03.954288 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 504: 668, ACK 1, Gewinn 18760, Länge 164 12:07:03.954502 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 668, Win 65535, Länge 0 12:07:03.955298 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 668: 944, ACK 1, Gewinn 18760, Länge 276 12:07:03.955425 IP 172.16.23.16.Netbios-NS> 172.16.31.255.NetBIOS-NS: NBT UDP-Paket (137): Registrierung; ANFRAGE; Sendung 12:07:03.956299 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 944: 1236, ACK 1, Gewinn 18760, Länge 292 12:07:03.956535 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 1236, Win 64967, Länge 0

9. Erfassen Sie nur TCP -Pakete.

Pakete basierend auf TCP Port, den folgenden Befehl mit Option ausführen TCP.

# TCPDUMP -I ETH0 TCP TCPDUMP: VERBOSE OUTPUT VERBRAUT, Verwenden Sie -v oder -VV für das vollständige Protokolldecodieren Sie das Hören auf ETH0, Link -Typ EN10MB (Ethernet), Capture -Größe 65535 Bytes 12:10:36.216358 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 3509646029: 3509646225, ACK 3652640142, Gewinn 18760, Länge 196 12:10:36.216592 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 196, Win 64687, Länge 0 12:10:36.219069 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], Seq 196: 504, ACK 1, Gewinn 18760, Länge 308 12:10:36.220039 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 504: 668, ACK 1, Gewinn 18760, Länge 164 12:10:36.220260 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 668, Win 64215, Länge 0 12:10:36.222045 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 668: 944, ACK 1, Gewinn 18760, Länge 276 12:10:36.223036 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: Flags [P.], SEQ 944: 1108, ACK 1, Gewinn 18760, Länge 164 12:10:36.223252 IP 172.16.25.125.apwi-rxspooler> 172.16.25.126.SSH: Flaggen [.], ACK 1108, Win 65535, Länge 0 ^C12: 10: 36.223461 IP Mid-Pay.Midcorp.Mittag.com.Netbios-SSN> 172.16.22.183.Rezept: Flaggen [.], seq 283256512: 283256513, ACK 550465221, Win 65531, Länge 1 [| SMB]

10. Paket aus einem bestimmten Port erfassen

Nehmen wir an, Sie möchten Pakete für einen bestimmten Port 22 erfassen. Führen Sie den folgenden Befehl aus, indem Sie die Portnummer angeben 22 Wie nachfolgend dargestellt.

# TCPDUMP -I Eth0 Port 22 TCPDUMP: VERBOSE AUSGABE VERBRAUT, Verwenden Sie -v oder -VV für das vollständige Protokoll -Decodieren Sie das Hören auf ETH0, Link -Typ EN10MB (Ethernet), Capture -Größe 65535 Bytes 10:37:49.056927 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], SEQ 3364204694: 3364204890, ACK 4193655445, Win 20904, Länge 196 10:37:49.196436 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], SEQ 4294967244: 196, ACK 1, Gewinn 20904, Länge 248 10:37:49.196615 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flaggen [.], ACK 196, Gewinn 64491, Länge 0 10:37:49.379298 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], Seq 196: 616, ACK 1, Gewinn 20904, Länge 420 10:37:49.381080 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], SEQ 616: 780, ACK 1, Gewinn 20904, Länge 164 10:37:49.381322 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Flaggen [.], ACK 780, Win 65535, Länge 0

11. Erfassen Sie Pakete von Source IP aus

Pakete aus der Quelle erfassen IP, Sagen Sie, Sie möchten Pakete für erfassen 192.168.0.2, Verwenden Sie den Befehl wie folgt.

# TCPDUMP -I ETH0 SRC 192.168.0.2 TCPDUMP: VERBOSE -Ausgang unterdrückt, verwenden.746474 IP 192.168.0.2.SSH> 192.168.0.1.Nokia-Ann-Ch1: Flags [P. P.], SEQ 3364578842: 3364579038, ACK 4193668445, Gewinn 20904, Länge 196 10:49:15.748554 IP 192.168.0.2.56200> b.Resolver.Stufe 3.Netz.Domäne: 11289+ PTR? 1.0.168.192.In-Addr.ARPA. (42) 10:49:15.912165 IP 192.168.0.2.56234> b.Resolver.Stufe 3.Netz.Domäne: 53106+ PTR? 2.0.168.192.In-Addr.ARPA. (42) 10:49:16.074720 IP 192.168.0.2.33961> b.Resolver.Stufe 3.Netz.Domäne: 38447+ PTR? 2.2.2.4.In-Addr.ARPA. (38)

12. Pakete von Ziel -IP erfassen

Pakete vom Ziel erfassen IP, Sagen Sie, Sie möchten Pakete für erfassen 50.116.66.139, Verwenden Sie den Befehl wie folgt.

# TCPDUMP -I ETH0 DST 50.116.66.139 TCPDUMP: VERBOSE -Ausgang unterdrückt, verwenden.798591 IP 192.168.0.2.59896> 50.116.66.139.HTTP: Flags [.], ACK 2480401451, Win 318, Optionen [NOP, NOP, TS VAL 7955710 ECR 804759402], Länge 0 10:55:05.527476 IP 192.168.0.2.59894> 50.116.66.139.http: Flags [f.], SEQ 2521556029, ACK 2164168606, Win 245, Optionen [NOP, NOP, TS VAL 7959439 ECR 804759284], Länge 0 10:55:05.626027 IP 192.168.0.2.59894> 50.116.66.139.HTTP: Flags [.], ACK 2, Win 245, Optionen [NOP, NOP, TS VAL 7959537 ECR 804759787], Länge 0

Dieser Artikel kann Ihnen helfen, die zu untersuchen tcpdump Befehl ausführlich und auch in Zukunft Pakete erfassen und analysieren. Es stehen eine Reihe von Optionen zur Verfügung. Sie können die Optionen gemäß Ihren Anforderungen verwenden. Bitte teilen Sie dies mit, wenn Sie diesen Artikel über unser Kommentarfeld nützlich finden.