ยูทิลิตี้ Vikoristic tcpdump

หน้าต่าง

คำสั่ง tcpdump เรียกอีกอย่างว่า packet sniffer คำสั่ง tcpdump จะทำงานในรูปแบบต่างๆ ส่วนใหญ่ระบบปฏิบัติการ ยูนิกซ์ tcpdump ช่วยให้คุณสามารถบันทึกแพ็กเก็ตที่ฝังไว้ได้ เพื่อให้เราสามารถแยกแพ็กเก็ตที่ฝังไว้เพื่อการวิเคราะห์เพิ่มเติมได้ สามารถดูไฟล์ที่บันทึกได้โดยใช้คำสั่ง tcpdump เดียวกันเรายังสามารถ vicoristati ได้

ซอฟต์แวร์รักษาความปลอดภัย มาเปิดมันกันเถอะรหัสเอาท์พุท

เช่น Wireshark สำหรับการอ่านไฟล์ tcpdump PCAP

ในบทนี้เราจะดูที่การกระทำ ก้นที่ใช้งานได้จริงฉันเป็นผู้ควบคุมคำสั่ง tcpdump

1. การฝังแพ็คเกจในอินเทอร์เฟซเฉพาะของเครือข่ายท้องถิ่นจาก vicoristans tcpdump -i

เมื่อคุณรันคำสั่ง tcpdump โดยไม่มีตัวเลือกใดๆ คุณจะดัมพ์แพ็กเก็ตทั้งหมดที่ผ่านอินเทอร์เฟซทั้งหมด

ตัวเลือก

-ฉัน

คำสั่ง tcpdump อนุญาตให้คุณกรองเบื้องหลังอินเทอร์เฟซอีเทอร์เน็ตที่มีอยู่

$ tcpdump -i eth1 12:59:41.967250 ARP, คำขอ who-has free.msk.ispsystem.net บอก gw.msk.ispsystem.net, ความยาว 46 12:59:41.967257 ARP, คำขอใครมีสำรอง บอก gw.msk.ispsystem.net ความยาว 46 12:59:41..44141 > wdc-ns1.ispsystem.net.domain: 14799+ PTR? 184.48.146.82.in-addr.arpa

(44) ...

ในแอปพลิเคชันนี้ tcpdump จะจัดเก็บแพ็กเก็ตทั้งหมดในสตรีมในอินเทอร์เฟซ eth1 และแสดงเอาต์พุตมาตรฐานบันทึก:

ตัวเลือก

ยูทิลิตี้ Editcap ใช้เพื่อเลือกหรือลบแพ็คเกจเก่าออกจากไฟล์ดัมพ์และถ่ายโอนไปยังรูปแบบที่ระบุ

3. มุมมองการแสดงแพ็กเก็ต ASCII ที่ถ่ายโอน, vikoryst และ tcpdump -a

ไวยากรณ์ tcpdump ต่อไปนี้เป็นแพ็กเก็ต ASCII อื่น

$ tcpdump -A -i eth0 13:03:06.516709 IP 213.132.93.178..vlsi-lm: ตั้งค่าสถานะ [.], ack 3120779210, ชนะ 254, ความยาว 0 E..( [ป้องกันอีเมล]].....b...%.=...O.P....... 13:03:06..35313 > wdc-ns1.ispsystem.net.domain: 13562+ PTR? [ป้องกันอีเมล] 178.93.132.213.in-addr.arpa
(45)
@.......x.....5.5' โดยที่ proto คือชื่อของระดับโปรโตคอลซึ่งมีทุกส่วนของแพ็คเกจ 8

เป็นสิ่งสำคัญที่การสะสมบุคลากรที่เพิ่มขึ้นส่งผลให้มีชั่วโมงเวลาเพิ่มเติม<тип> ต้นทุนในการประมวลผลแพ็กเก็ตและการเปลี่ยนแปลงจำนวนแพ็กเก็ตที่ถูกบัฟเฟอร์ ซึ่งอาจส่งผลให้บางแพ็กเก็ตสิ้นเปลือง
Vikorist ค่าต่ำสุดของ snaplen ที่จะอนุญาต

หลีกเลี่ยงการสูญเสียข้อมูลเกี่ยวกับโปรโตคอลเพื่อช่วยคุณการตั้งค่า snaplen = 0 จะทำให้แพ็กเกจใหม่ค้าง

-ตซึ่งหมายความว่าแพ็คเกจที่เลือกโดยตัวกรองเพิ่มเติมจะถูกตีความว่าเป็นแพ็คเกจที่กำหนดให้กับพารามิเตอร์ประเภท

ประเภทที่รองรับในปัจจุบันคือ aodv9, cnfp10, rpc11, rtp12, rtcp13, snmp14, tftp15, vat16 และ wb17 -ทีเปิดใช้งานการแสดงเครื่องหมายเวลาบนแถวการถ่ายโอนข้อมูลสกิน

-ตกำหนดรูปแบบสำหรับการถ่ายโอนข้อมูลการประทับเวลาที่ยังไม่ได้จัดรูปแบบแต่ละแถว

-tttตั้งค่าการแสดงช่วงเวลา (เป็นไมโครวินาที) ระหว่างการสะสมของช่วงเวลาก่อนหน้า

ของแพ็คเกจนี้ที่แถวผิวหนังของกองขยะ
-tttt
ตั้งค่าการแสดงเครื่องหมายเวลาในรูปแบบมาตรฐานของแถวดัมพ์สกิน

-คุณหมายถึงเอาต์พุตของตัวจัดการ NFS ที่ไม่มีการถอดรหัส -คุณระบุโหมด "การบัฟเฟอร์ระดับแพ็กเก็ต" สำหรับไฟล์ที่บันทึกโดยใช้อ็อพชัน -w เพิ่มเติม
ในโหมดใด แพ็คเกจสกินจะถูกเขียนไปยังไฟล์เอาต์พุต เช่นเดียวกับในกรณีของการบันทึกเท่านั้น

(อย่าตรวจสอบการเติมบัฟเฟอร์เอาต์พุต)ไม่รองรับ Prapor -U หากโปรแกรม tcpdump ถูกคอมไพล์ด้วยตัวเลือก libpcap เก่า ซึ่งไม่รองรับฟังก์ชันนี้

pcap_dump_flush()กำหนดจำนวนข้อมูลสูงสุดที่จะแสดง (เช่น ตัวเลือก telnet SB ... SE จะแสดงอยู่เสมอ)
เมื่อคุณเลือกปุ่ม -X ตัวเลือก Telnet จะปรากฏขึ้นเช่นกัน

ภาษีที่สิบหก<файл> -ว
ตั้งค่าบันทึกแพ็กเก็ตที่ยังไม่ได้ส่งมอบ

แพ็คเกจที่รวบรวมจากไฟล์สามารถตรวจสอบได้ตลอดเวลาโดยเจ้าหน้าที่อื่น -r หรือถ่ายโอนไปยังโปรแกรมอื่นเพื่อการวิเคราะห์(ตัวอย่างเช่น ไม่มีตัวตน) หากมีการระบุสัญลักษณ์ไว้ในชื่อไฟล์ การบันทึกจะถูกนำไปใช้กับอุปกรณ์เอาท์พุตมาตรฐาน (stdout)-x
ระบุข้อมูลสรุปของดัมพ์เลขฐานสิบหก (ไม่มีส่วนหัว
ระดับช่อง

) สำหรับแพ็คเกจฝังผิวหนังจำนวนข้อมูลที่แสดงจะถูกกำหนดโดยค่าที่น้อยกว่าสองค่า -

ขนาดของแพ็กเกจและค่าของพารามิเตอร์ snaplenเป็นสิ่งสำคัญที่เมื่อมีการจัดเก็บเฟรมใหม่ของระดับช่องสัญญาณ ดัมพ์ยังสามารถรวมไบต์การเติมเต็ม เช่น แพ็กเก็ตระดับขอบ

มันมีขนาดขั้นต่ำ-xx

ตั้งค่าดัมพ์เลขฐานสิบหกสำหรับแพ็คเกจสกินที่มีส่วนหัวระดับช่องสัญญาณรวมอยู่ด้วย<тип> -เอ็กซ์

ระบุว่าดัมพ์จะแสดงในรูปแบบเลขฐานสิบหกและ ASCII โดยไม่มีส่วนหัวระดับช่องสัญญาณ

• ตัวเลือกนี้ยังมีประโยชน์เมื่อวิเคราะห์โปรโตคอลใหม่อีกด้วย

-XX

• ระบุว่าดัมพ์จะแสดงในรูปแบบเลขฐานสิบหกและ ASCII โดยมีส่วนหัวระดับช่องสัญญาณรวมอยู่ด้วย

-y

• ระบุประเภทของระดับช่องสัญญาณที่ได้รับเมื่อมีการฝังแพ็กเก็ต

สามารถดูค่าที่รักษาไว้ได้โดยใช้ Ensign -L

• ใช้มัน

เราจับการจราจรขาออกทั้งหมด

• tcpdump -i re0 -n -nn -ttt โฮสต์ dst 192.168.1.2

เราตรวจจับการรับส่งข้อมูลขาออกทั้งหมดจากเซสชัน ssh ของเราเพื่อให้มีข้อมูลไหลออกมาจำนวนมาก

• tcpdump -i re0 -n -nn -ttt 'โฮสต์ dst 192.168.1.110 และไม่ใช่ (โฮสต์ src 192.168.1.2 และพอร์ต dst 22)'

มุมมองspіlkuvannya dns

• tcpdump -i re0 -n -nn -ttt 'โฮสต์ 192.168.1.110 และพอร์ต 53'

• ตรวจสอบแพ็กเก็ต icmp

tcpdump -i re0 -n -nn -ttt 'ip โปรโต \ icmp'

• การรับส่งข้อมูลที่เปลี่ยนจากเครือข่าย 10.7.20 ไปยังเครือข่าย 10.7.0

หรือ 10.7.24.

• tcpdump -nvX src net 10.7.20.0.0/16 และ dst net 10.7.0.0/8 หรือ 10.7.24.0/16

การรับส่งข้อมูลที่ไปจากขอบเขต 10.7.0.0 ไปยังการกำหนดพอร์ต 22 หรือ 4589:

• tcpdump 'src 10.7.0.0 และ (dst พอร์ต 22 หรือ 4589)'

ตรวจสอบการรับส่งข้อมูลบนอินเทอร์เฟซ:

• ดูปริมาณการใช้งานของโฮสต์เดียว:

โฮสต์ tcpdump 192.168.1.1

• ดูการจราจรบนท่าเรือ:

tcpdump src พอร์ต 80

• ดูการรับส่งข้อมูล IP ไปยังโฮสต์:

โฮสต์ tcpdump Pav253 หรือโฮสต์ Pav210

• มองเห็นได้แทนแพ็คเกจบนอินเทอร์เฟซ re0 ไปยังไซต์

tcpdump -X -i re0 โฮสต์ไซต์

• การจราจรไอซีคิว

tcpdump -X -i re0 พอร์ต aol

• เป็นที่น่าสังเกตว่าแทนที่จะเป็นแพ็กเก็ตบนอินเทอร์เฟซ tun0 ไปยังโฮสต์ ya.ru ให้อ่าน 1,500 ไบต์จากแต่ละแพ็กเก็ตและอย่าแปลง IP เป็นชื่อโฮสต์

tcpdump -X -s 1500 -n -i re0 โฮสต์ไซต์

• นกฤดูหนาวที่มีการใช้งานสูงสุด

tcpdump -tn -c 10,000 -i re0 tcp หรือ udp |

• awk -F ""

'(พิมพ์ $1″.”$2″”$3″”$4)’ |

• \เรียงลำดับ |

uniq-c |

• เรียงลำดับหมายเลข |

ไม่จริง '$1 > 100'<>2)) != 0)’

• มองเห็นแพ็กเก็ต TCP ทั้งหมดจากแฟล็ก SYN (ส่วนหัวของเซสชัน)

tcpdump -i eth0 -nn tcp == 2 และ src net 192.168.1.0/24

มุมมองของแพ็คเกจซินและฟินพร้อมท่า

tcpdump 'tcp & (tcp-syn|tcp-fin) != 0 และไม่ใช่ src และ dst net 192.168.1.0'

ดูแพ็กเก็ต ipv4 http ทั้งหมดจากพอร์ต 80 รวมถึงข้อมูล syn / fin / ack

tcpdump 'พอร์ต tcp 80 และ (((ip - ((ip&0xf))

ดูแพ็คเกจ syn บางอย่าง บทช่วยสอนนี้จะแสดงวิธีแยกการรับส่งข้อมูลในรูปแบบต่างๆ ตั้งแต่ IP, พอร์ต, โปรโตคอล จนถึงการรับส่งข้อมูลในเลเยอร์แอปพลิเคชัน เพื่อให้แน่ใจว่าคุณจะพบสิ่งที่คุณต้องการโดยเร็วที่สุด tcpdump เป็นเครื่องมือที่ทุกคนควรเรียนรู้เพื่อใช้เป็นฐานในการวิเคราะห์แพ็กเก็ต ติดตั้ง tcpdump ด้วย apt install tcpdump (Ubuntu) หรือ yum install tcpdump (Redhat/Centos)เริ่มจากคำสั่งพื้นฐานที่จะรับทราฟฟิก HTTPS ให้กับเรา: tcpdump -nn S X พอร์ต 443 04:45:40.573686 IP 78.149.209.110.27782 > 172.30.0.144 .443 : ตั้งค่าสถานะ [.], ack 278239097, win 28, options , ความยาว 0 0x

4500 0034 0014 0000 2e06 c005 4e8e d16e E..4........N..n 0x0010: ac1e 0090 6c86 01bb 8e0a b73e 1095 9779 ....l......>...y

0x0020:

8010 001c d202 0000 0101 080a 3803 7b55 ............8.(ยู

0x0030: 4801 8100

คุณสามารถเลือกแพ็กเก็ตเดี่ยวด้วย -c 1 หรือ

n

หมายเลขด้วย -c n

สิ่งนี้แสดงการรับส่งข้อมูล HTTPS โดยมีการแสดงเลขฐานสิบหกปรากฏที่ส่วนด้านขวาของเอาต์พุต (อนิจจามันถูกเข้ารหัส)

เพียงจำไว้ว่า—หากมีข้อสงสัย ให้รันคำสั่งด้านบนด้วยพอร์ตที่คุณสนใจ แล้วคุณก็ไปได้เลย ตัวอย่าง PacketWizard™ ไม่ใช่เครื่องหมายการค้าจริงๆ แต่ควรจะเป็น

ผู้ปฏิบัติงานกำลังเตรียมรัน tcpdump

ตอนนี้คุณสามารถดูการรับส่งข้อมูลพื้นฐานแล้ว มาดูตัวอย่างเชิงตัวเลขซึ่งคุณจะต้องใช้สำหรับการทำงาน การรักษาความปลอดภัย หรือ PacketWizard™ ประเภทใดๆ กัน

ทุกอย่างบนอินเทอร์เฟซ

แค่ดูว่าเกิดอะไรขึ้นโดยดูว่ามีอะไรมากระทบอินเทอร์เฟซของคุณ

โฮสต์ เน็ต และพอร์ต

src และ dst

โฮสต์ เน็ต และพอร์ต

tcp, udp, icmp และอื่นๆ อีกมากมาย

โฮสต์ tcpdump 1.1.1.1

06:20:25.593207 IP 172.30.0.144.39270 > one.one.one.one .domain : 12790+ A?

google.com

(28) 06:20:25.594510 IP one.one.one.one .โดเมน > 172.30.0.144.39270: 12790 1/0/0 A 172.217.15.78 (44)
หากคุณต้องการยืนยันเพียงวิธีเดียว คุณสามารถใช้ src และ dst

tcpdump src 1.1.1.1

tcpdump dst 1.0.0.1

การค้นหาแพ็กเก็ตตามเครือข่าย

บีบแพ็กเก็ตไปที่หรือจากเครือข่ายหรือซับเน็ตเฉพาะ ตัวเลือก vikorystyuchi net

คุณสามารถใช้ตัวเลือก src และ dst ได้ตามต้องการ

tcpdump net 1.2.3.0/24

รับเนื้อหาแพ็คเก็ตที่มีเอาต์พุต Hex

เอาต์พุตเลขฐานสิบหกมีประโยชน์เมื่อคุณต้องการดูเนื้อหาของแพ็กเก็ตที่เป็นปัญหา และมักจะใช้ดีที่สุดเมื่อคุณแยกตัวเลือกฟีดเพื่อการตรวจสอบอย่างละเอียดยิ่งขึ้น

tcpdump -c 1 -X icmp

1. สรุป
2. มีเส้นทางดังกล่าวอยู่ที่นี่
3. tcpdump เป็นเครื่องมืออันทรงคุณค่าสำหรับทุกคนที่จะเข้าใจมัน

วิธีการเชื่อมต่อกับการรับส่งข้อมูลแบบ Raw รวมกับความแม่นยำในการตรวจสอบแพ็กเก็ตทำให้เป็นเครื่องมือที่ดีที่สุดในการเรียนรู้ TCP/IP

เครื่องมือวิเคราะห์โปรโตคอลเช่น Wireshark นั้นยอดเยี่ยม หากคุณเป็นผู้เชี่ยวชาญด้านแพ็กเก็ตฟูอย่างแท้จริง คุณจะต้องเป็นหนึ่งในคนกลุ่มแรกที่มี TCPDump

1. Velmi ผู้ที่รับผิดชอบในการสละพลังอันยิ่งใหญ่ของคุณไป แต่อีกฝ่ายต้องตำหนิสำหรับสถานการณ์การใช้งานที่ทันสมัยที่สุดและครั้งเดียว
2. ฉันหวังว่าสิ่งนี้จะเป็นประโยชน์กับคุณจริงๆ และโปรดอย่าลังเลที่จะตอบคำถามใดๆ
3. หมายเหตุ

ภาพชั้นนำมาจาก SecurityWizardry.com

หนึ่งในตัวกรองฉนวนที่ยืมมา

tcpdump - คู่มือของ Korisny พร้อมก้น

15:31:34.079416 IP (tos 0x0, ttl 64, id 20244, ออฟเซ็ต 0, แฟล็ก, โปรโต: TCP (6), ความยาว: 60) source.35970 > dest.80: S, cksum 0x0ac1 (4) 2647022145(0 ) ชนะ 5840 0x0000: 4500 003c 4f14 4006 7417 0afb 0257 E.. 0x0010: 4815 222a 8c82 0050 9dc6 5a41 0000 0000 H."*...P..ZA.... 0x0020 a00 2 16d0 0ac1 0000 0204 05b4 0402 080a ............ 0x0030: 14b4 1555 0000 0000 0103 0302

พื้นฐาน

ด้านล่างนี้คือรายการพารามิเตอร์ที่สามารถกำหนดค่าได้ระหว่างการตั้งค่า tcpdump

ง่ายต่อการลืมและ/หรือสับสนกับตัวกรองประเภทอื่นๆ เช่น Wireshark ดังนั้นหน้านี้อาจเป็นเนื้อหาที่มีประโยชน์สำหรับคุณ

• แกนหลักที่ฉันชอบบันทึกไว้ในความทรงจำคือสาเหตุที่ทำให้ฉันประหลาดใจ
• ตัวเลือก
• -i any: ฟังอินเทอร์เฟซทั้งหมดเพื่อดูการรับส่งข้อมูลมากขึ้น
• -i eth0: ฟังอินเทอร์เฟซ eth0
• -D: แสดงรายการอินเทอร์เฟซที่มีอยู่
• -n: แสดงที่อยู่ IP แทนชื่อโฮสต์
• -nn: แสดงที่อยู่ IP และหมายเลขพอร์ตแทนชื่อโฮสต์และชื่อโปรโตคอล
• -q: แสดงจำนวนข้อมูลขั้นต่ำเกี่ยวกับแพ็คเกจ
• -t: อย่าแสดงไอคอนชั่วโมงในแถวสกิน
• -tttt: ตั้งค่าการแสดงเครื่องหมายเวลาในรูปแบบมาตรฐานสำหรับแถวสกิน
• -X: แสดงแพ็กเก็ตทั้งในรูปแบบเลขฐานสิบหกและ ASCII แทน
• -XX: เหมือนกับ -X แต่ยังแสดงส่วนหัวของอีเธอร์เน็ตด้วย
• -v, -vv, -vvv: เพิ่มจำนวนข้อมูลที่ส่งคืนเกี่ยวกับแพ็กเก็ต
• -c: ลบแพ็คเกจจำนวน x เท่านั้นแล้วดาวน์โหลด
• -s: ส่งกลับความยาวสแนปสูงสุดเป็นไบต์
• Vikorist -s0 เพื่อที่จะลบทุกอย่างออกเนื่องจากคุณไม่ได้ฝังมันน้อยลง -S: หมายเลขซีเรียลที่แน่นอนนั้นแตกต่างกัน-e: ลบส่วนหัว Ethernet
• -q: แสดง

ข้อมูลน้อยที่สุด

เกี่ยวกับแพ็คเกจ

-E: ถอดรหัสการรับส่งข้อมูล IPSEC โดยป้อนคีย์เข้ารหัส [ค่า snaplength สำหรับ tcpdump 4.0 มีการเปลี่ยนแปลงจาก 68 เป็น 96 ไบต์ฉันต้องการให้ข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเกจ แต่ไม่ใช่ข้อมูลทั้งหมด

Vikorist -s1514 หรือ -s0 เพื่อถอดด้านนอกของร่องลึกออก

วิราซี

นิพจน์ของ tcpdump ช่วยให้คุณสามารถลบได้

ประเภทต่างๆ

การจราจรและรู้ว่าสิ่งที่คุณกำลังมองหา

ตอนนี้เรารู้แล้วว่ามีตัวเลือกอะไรบ้าง เรามาดูการใช้งานจริงบางอย่างที่เรามั่นใจว่าต้องใช้ในการทำงานในแต่ละวันกันดีกว่า

ความต้องการโดยทั่วไป

แค่ประหลาดใจกับสิ่งที่เกิดขึ้นเมื่อคุณดูอินเทอร์เฟซทั้งหมด

# tcpdump -i อะไรก็ได้

อินเทอร์เฟซเฉพาะ

ข้อความส่วนใหญ่เกี่ยวกับข้อความที่ปรากฏบนอินเทอร์เฟซเฉพาะ

# tcpdump -i eth0

การบริจาค VISNOVKU ที่ยังไม่ได้ดำเนินการ

การรายงานโดยไม่ได้รับอนุญาตจากชื่อโฮสต์หรือหมายเลขพอร์ต หมายเลขลำดับที่แน่นอน และการประทับเวลา

# tcpdump -ttttnnvvS

ค้นหาการจราจรตาม IP

หนึ่งในคำขอที่แพร่หลายที่สุด นี่จะแสดงให้คุณเห็นการรับส่งข้อมูลจาก 1.2.3.4 ซึ่งเป็นที่ที่มันอยู่

# โฮสต์ tcpdump 1.2.3.4

ตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเกจที่มีระบบเลขฐานสิบหก

ฉบับร่างที่สิบหกจะเป็นสีน้ำตาลหากคุณต้องการใช้แทนการดูบรรจุภัณฑ์ และมักจะดีกว่าถ้าใช้หากคุณแยกผู้สมัครจำนวนหนึ่งเพื่อให้การเลือกแม่นยำยิ่งขึ้น

# tcpdump -nnvXSs 0 -c1 icmp tcpdump: กำลังฟังบน eth0, ประเภทลิงก์ EN10MB (Ethernet), 23:11:10.370321 IP (tos 0x20, ttl 48, id 34859, 43.4 > 72.21.34.42: icmp 64: echo คำขอ seq 0 0x0000: 4520 0054 882b 0000 3001 7cf5 45fe d52b E..T.+..0.|.E.+ 0x2 000 00 "..50"..%..D 0x0020: ae5e 0500 0809 0a0b 0c0d 0e0 ฉ 1011 1213 .^............. 0x0030: 1415 1617 1819 1a2 ..........!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%& " ()*+,-./0123 0x0050: 3435 3637 4567 แพ็กเก็ต 1 แพ็คที่ถูกทิ้งโดยเคอร์เนล

การกรองสำหรับ Jerels และการรับรู้

ง่ายมากที่จะเห็นปริมาณการใช้ข้อมูลตาม src และ dst

# tcpdump src 2.3.4.5 tcpdump dst 3.4.5.6

ซื้อแพ็คเกจตาม MEREZHA

หากต้องการค้นหาแพ็กเกจที่จะไปหรือกลับจากขีดจำกัดเพลง โปรดไปที่ net

คุณสามารถใช้อ็อพชัน src หรือ dst

# tcpdump net 1.2.3.0/24

แสดงการจราจรทางโทรศัพท์ไปยังท่าเรือพิเศษ

คุณสามารถค้นหาพอร์ตการรับส่งข้อมูลเฉพาะได้โดยใช้ตัวเลือกพอร์ต ตามด้วยหมายเลขพอร์ต

# พอร์ต tcpdump 3389 พอร์ต tcpdump src 1025

แสดงการจราจรสำหรับหนึ่งโปรโตคอล

หากคุณกำลังมองหาการรับส่งข้อมูลประเภทนี้ คุณสามารถใช้ tcp, udp, icmp และอื่นๆ อีกมากมาย

#tcpdump icmp

แสดงประเภทการจราจร IP6

คุณสามารถดูการรับส่งข้อมูล IP6 ทั้งหมดได้โดยเลือกตัวเลือกโปรโตคอล

ค้นหาการจราจรในผู้ชนะในช่วงพอร์ต

คุณยังสามารถเรียกดูช่วงพอร์ตเพื่อดูการรับส่งข้อมูลได้

# tcpdump พอร์ต 21-23

หากคุณกำลังมองหาบรรจุภัณฑ์ที่มีขนาดเล็ก คุณสามารถเปลี่ยนพารามิเตอร์เหล่านี้ได้

คุณสามารถสำรวจสัญลักษณ์ขนาดเล็ก ใหญ่ และคล้ายกันได้ในขณะที่คุณเรียนรู้เกี่ยวกับคณิตศาสตร์<= 128

# tcpdump น้อยกว่า 32 tcpdump มากกว่า 64 tcpdump

รายการไฟล์จดหมาย

การบันทึกผลลัพธ์ของแบทช์ลงในไฟล์มักจะเป็นประโยชน์สำหรับการวิเคราะห์ในอนาคต

ไฟล์เหล่านี้รู้จักกันในชื่อไฟล์ PCAP (PEE-cap) และสามารถประมวลผลได้ด้วยโปรแกรมต่างๆ หลายร้อยโปรแกรม รวมถึงเครื่องวิเคราะห์ขอบ ระบบตรวจจับการบุกรุก และที่สะดุดตาที่สุดคือ tcpdump นั่นเอง

ที่นี่เราเขียนไฟล์จากชื่อ capture_file โดยใช้คีย์ -w

# พอร์ต tcpdump 80 -w capture_file

การอ่านไฟล์ใน PCAP

คุณสามารถอ่านไฟล์ PCAP ได้โดยใช้สวิตช์ -r

โปรดทราบว่าคุณสามารถคัดลอกคำสั่งปกติทั้งหมดใน tcpdump ได้ภายในหนึ่งชั่วโมงที่อ่านไฟล์

นอกจากนี้คุณยังถูกจำกัดด้วยความจริงที่ว่าคุณไม่สามารถบันทึกหรือลบสิ่งที่ไม่ได้อยู่ในไฟล์ได้

# tcpdump -r capture_file
การขยาย

ตอนนี้ เนื่องจากเราได้เรียนรู้แล้วว่าเราสามารถทำอะไรได้บ้างจากพื้นฐานโดยอาศัยความช่วยเหลือจากการใช้งานจริงบางส่วน เรามาดูสุนทรพจน์ที่ซับซ้อนบางส่วนกัน
ทั้งหมดนี้เกี่ยวกับการรวมกัน

การทำงานในการกล่าวสุนทรพจน์ที่แตกต่างกันทีละรายการถือเป็นส่วนที่ยุ่งยาก และความมหัศจรรย์ที่แท้จริงของ tcpdump คือการดึงแนวคิดนี้ออกมาด้วยวิธีที่สร้างสรรค์เพื่อแยกสิ่งที่คุณกำลังมองหา
มีสามวิธีในการสร้างชุดค่าผสม และเมื่อคุณเข้าสู่โปรแกรมแล้ว กลิ่นก็จะคุ้นเคยอยู่แล้ว

และ

และหรือ &&

หรือ

หรือหรือ ||

ยกเว้น

ไม่หรือ!

แกนก้นของคำสั่งรวม

IP เฉพาะ Z ที่ฉันกำหนดให้กับพอร์ตที่ได้รับมอบหมาย

เราทราบการรับส่งข้อมูลทั้งหมดจาก 10.5.2.3 ไปยังโฮสต์ใดๆ บนพอร์ต 3389

Tcpdump -nnvvS src 10.5.2.3 และพอร์ต dst 3389

มุมมองของมาตรการเดียวก่อน INSHO

ลองดูปริมาณการรับส่งข้อมูลทั้งหมดที่เปลี่ยนจาก 192.168.x.x และขัดข้องเป็นอย่างน้อย 10.x หรือ 172.16.x.x และเราจะแสดงขั้นตอนที่สิบหกโดยไม่มีชื่อโฮสต์และรายละเอียดเพิ่มเติมหนึ่งระดับ

Tcpdump -nvX src net 192.168.0.0/16 และ dst net 10.0.0.0/8 หรือ 172.16.0.0/16

การรับส่งข้อมูลที่ไม่ใช่ ICMP ไปยัง IP ที่เฉพาะเจาะจง

การจัดกลุ่มที่ซับซ้อนยิ่งขึ้นและสัญลักษณ์พิเศษ

นอกจากนี้ โปรดทราบว่าเมื่อสร้างคำสั่งแบบพับ คุณอาจต้องจัดกลุ่มพารามิเตอร์ vikory และขาเดี่ยวของคุณ

มีการใช้ขาเดี่ยวเพื่อเข้าสู่ tcpdump ซึ่งต้องละเว้นอักขระพิเศษบางตัว - ในกรณีนี้คืออักขระที่อยู่ในกลุ่ม "()"

วิธีนี้สามารถใช้ในการจัดกลุ่มกับไวรัสอื่นๆ เช่น โฮสต์ พอร์ต ขอบเขต ฯลฯ

ประหลาดใจกับคำสั่งด้านล่าง

# การรับส่งข้อมูลที่มาจาก 10.0.2.4 และกำหนดไว้สำหรับพอร์ต 3389 หรือ 22 (ผิด) tcpdump src 10.0.2.4 และ (dst พอร์ต 3389 หรือ 22)

หากคุณพยายามที่จะลบคำสั่งที่แย่กว่านี้ออกไปในสถานการณ์อื่น คุณจะเอานมออกทางแขน

คุณสามารถแก้ไขได้โดยการย้ายจากส่วนโค้ง (โดยวางไว้ด้านหน้าผิวหนัง) หรือโดยการวางทั้งทีมด้วยอุ้งเท้าเดียว:

# การรับส่งข้อมูลที่มาจาก 10.0.2.4 และกำหนดไว้สำหรับพอร์ต 3389 หรือ 22 (ถูกต้อง) # tcpdump "src 10.0.2.4 และ (dst พอร์ต 3389 หรือ 22)"

การแยกรหัส TCP เฉพาะ

คุณยังสามารถฝังการรับส่งข้อมูลตามพอร์ต TCP ได้อีกด้วย

[หมายเหตุ: ตัวกรองด้านล่างรู้จักแพ็กเก็ตที่แตกต่างกันเนื่องจาก tcp ทำเครื่องหมายออฟเซ็ต 13 ในส่วนหัว TCP ตัวเลขแสดงถึงตำแหน่งของออฟเซ็ตเป็นไบต์ และ!

= 0 หมายความว่าแฟล็กนี้ตั้งค่าเป็น 1 แล้ว

วิน วิมคเนนี

-

แสดงแพ็คเกจด่วน (URG) ทั้งหมด...

# tcpdump "tcp & 32!=0"

แสดงแพ็กเก็ต ACKNOWLEDGE ทั้งหมด (ACK) ...

# tcpdump "tcp & 16!=0"

แสดงแพ็คเกจ PUSH ทั้งหมด (PSH) ...

# tcpdump "tcp & 8!=0"

แสดงแพ็คเกจ RESET ทั้งหมด (RST) ...

# tcpdump "tcp & 4!=0"

แสดงแพ็คเกจ SYNCHRONIZE ทั้งหมด (SYN) ...

# tcpdump "tcp & 2!=0"

แสดงแพ็คเกจ FINISH (FIN) ทั้งหมด...

# tcpdump "tcp & 1!=0"

แสดงแพ็คเกจ SYNCHRONIZE / ACKNOWLEDGE ทั้งหมด (SYNACK) ...

# tcpdump "tcp=18" [หมายเหตุ: เฉพาะ PSH, RST, SYN และ FIN เท่านั้นที่จะแสดงในช่อง tcpdump ที่แสดง

ค้นหาสูตรอาหารง่ายๆ จำนวนหนึ่งที่คุณต้องการจดจำเพื่อป้องกันการรับส่งข้อมูลเฉพาะและเฉพาะทาง เช่น แพ็กเก็ตที่ไม่ถูกต้อง/เสียหายโดยไม่คาดคิด

แพ็คเกจที่ประกอบด้วยชุดอุปกรณ์ RST และ SYN (ซึ่งไม่ใช่ความผิดของคุณ)

# tcpdump "tcp = 6"

รู้ VIDCRITY ข้อความ HTTP และตัวพิมพ์ใหญ่ของตัวเลือก

# tcpdump "tcp = 0x47455420"

ค้นหาการเชื่อมต่อ SSH บนพอร์ตใดก็ได้ (ผ่านแบนเนอร์)

# tcpdump "tcp[(tcp>>2):4] = 0x5353482D"

แพ็กเก็ตที่มี TTL น้อยกว่า 10 (กฎนี้แสดงให้เห็นถึงปัญหาของ VICORIST TRACEROUTE)

#tcpdump "ip< 10"

แพ็คเกจที่มีการติดตั้ง EVIL BIT

# tcpdump "ไอพี & 128 ! = 0"

วิสโนวอค

tcpdump เป็นเครื่องมืออันทรงคุณค่าสำหรับทุกคนที่ต้องการมีส่วนร่วมในการรักษาความปลอดภัยข้อมูล
วิธีโต้ตอบกับการรับส่งข้อมูลที่ไม่เหมือนใคร โดยอิงตามความแม่นยำที่ใช้ในการตรวจสอบแพ็กเก็ต ใช้เครื่องมือแปลง TCP/IP ล่าสุด
เครื่องมือวิเคราะห์โปรโตคอล เช่น Wireshark นั้นยอดเยี่ยมมาก หากคุณต้องการดัมพ์แพ็กเก็ตอย่างมีประสิทธิภาพ คุณควรดัมพ์ tcpdump ทันที
ซากาลอม ผู้ช่วยคนนี้มีหน้าที่ช่วยให้คุณแข็งแกร่งขึ้น และการดูแลด้านข้างจะเป็นประโยชน์เสมอสำหรับสถานการณ์ที่ก้าวหน้าที่สุดและเกิดขึ้นเพียงครั้งเดียวของวิโคริสถาน

ฉันหวังเป็นอย่างยิ่งว่าสิ่งนี้จะไม่ดีสำหรับคุณ และอย่าลังเลที่จะโจมตีฉันเนื่องจากคุณมีอาหาร

โปรแกรมนี้ได้รับการทดสอบและสนับสนุนโดยผู้เชี่ยวชาญจาก Cisco Networking Academy และ Linux Professional Institute ผู้สอนที่ได้รับการรับรอง และหัวหน้างานพิเศษ

ให้เราช่วยคุณทำกิจวัตรประจำวันและสร้างอาชีพของคุณ

• 100% ของผู้สำเร็จการศึกษาของเราผ่านการฝึกอบรมทางการแพทย์
• คุณจะเริ่มต้นอย่างไร?
• เราดำเนินการบรรยายออนไลน์ตอนเย็นบนแพลตฟอร์มของเราหรือเริ่มต้นที่สำนักงานเคียฟ
• เราถามคุณเกี่ยวกับสิ่งที่มีประโยชน์ในการฝึกฝนและให้เราอธิบาย: แน่นอนว่ามีเวลาเรียนไม่เพียงพอ

หากคุณต้องการตารางเวลาส่วนตัว เราสามารถพูดคุยกันได้