หน้าต่าง
คำสั่ง tcpdump เรียกอีกอย่างว่า packet sniffer คำสั่ง tcpdump จะทำงานในรูปแบบต่างๆ ส่วนใหญ่ระบบปฏิบัติการ ยูนิกซ์ tcpdump ช่วยให้คุณสามารถบันทึกแพ็กเก็ตที่ฝังไว้ได้ เพื่อให้เราสามารถแยกแพ็กเก็ตที่ฝังไว้เพื่อการวิเคราะห์เพิ่มเติมได้ สามารถดูไฟล์ที่บันทึกได้โดยใช้คำสั่ง tcpdump เดียวกันเรายังสามารถ vicoristati ได้
ซอฟต์แวร์รักษาความปลอดภัย มาเปิดมันกันเถอะรหัสเอาท์พุท
เช่น Wireshark สำหรับการอ่านไฟล์ tcpdump PCAP
ในบทนี้เราจะดูที่การกระทำ ก้นที่ใช้งานได้จริงฉันเป็นผู้ควบคุมคำสั่ง tcpdump
1. การฝังแพ็คเกจในอินเทอร์เฟซเฉพาะของเครือข่ายท้องถิ่นจาก vicoristans tcpdump -i
เมื่อคุณรันคำสั่ง tcpdump โดยไม่มีตัวเลือกใดๆ คุณจะดัมพ์แพ็กเก็ตทั้งหมดที่ผ่านอินเทอร์เฟซทั้งหมด
ตัวเลือก
-ฉัน
คำสั่ง tcpdump อนุญาตให้คุณกรองเบื้องหลังอินเทอร์เฟซอีเทอร์เน็ตที่มีอยู่
$ tcpdump -i eth1 12:59:41.967250 ARP, คำขอ who-has free.msk.ispsystem.net บอก gw.msk.ispsystem.net, ความยาว 46 12:59:41.967257 ARP, คำขอใครมีสำรอง บอก gw.msk.ispsystem.net ความยาว 46 12:59:41..44141 > wdc-ns1.ispsystem.net.domain: 14799+ PTR? 184.48.146.82.in-addr.arpa
(44) ...
ในแอปพลิเคชันนี้ tcpdump จะจัดเก็บแพ็กเก็ตทั้งหมดในสตรีมในอินเทอร์เฟซ eth1 และแสดงเอาต์พุตมาตรฐานบันทึก:
ตัวเลือก
ยูทิลิตี้ Editcap ใช้เพื่อเลือกหรือลบแพ็คเกจเก่าออกจากไฟล์ดัมพ์และถ่ายโอนไปยังรูปแบบที่ระบุ
3. มุมมองการแสดงแพ็กเก็ต ASCII ที่ถ่ายโอน, vikoryst และ tcpdump -a
ไวยากรณ์ tcpdump ต่อไปนี้เป็นแพ็กเก็ต ASCII อื่น
$ tcpdump -A -i eth0 13:03:06.516709 IP 213.132.93.178..vlsi-lm: ตั้งค่าสถานะ [.], ack 3120779210, ชนะ 254, ความยาว 0 E..( [ป้องกันอีเมล]].....b...%.=...O.P....... 13:03:06..35313 > wdc-ns1.ispsystem.net.domain: 13562+ PTR? [ป้องกันอีเมล] 178.93.132.213.in-addr.arpa
(45)
@.......x.....5.5' โดยที่ proto คือชื่อของระดับโปรโตคอลซึ่งมีทุกส่วนของแพ็คเกจ 8
เป็นสิ่งสำคัญที่การสะสมบุคลากรที่เพิ่มขึ้นส่งผลให้มีชั่วโมงเวลาเพิ่มเติม<тип>
ต้นทุนในการประมวลผลแพ็กเก็ตและการเปลี่ยนแปลงจำนวนแพ็กเก็ตที่ถูกบัฟเฟอร์ ซึ่งอาจส่งผลให้บางแพ็กเก็ตสิ้นเปลือง
Vikorist ค่าต่ำสุดของ snaplen ที่จะอนุญาต
หลีกเลี่ยงการสูญเสียข้อมูลเกี่ยวกับโปรโตคอลเพื่อช่วยคุณการตั้งค่า snaplen = 0 จะทำให้แพ็กเกจใหม่ค้าง
-ตซึ่งหมายความว่าแพ็คเกจที่เลือกโดยตัวกรองเพิ่มเติมจะถูกตีความว่าเป็นแพ็คเกจที่กำหนดให้กับพารามิเตอร์ประเภท
ประเภทที่รองรับในปัจจุบันคือ aodv9, cnfp10, rpc11, rtp12, rtcp13, snmp14, tftp15, vat16 และ wb17 -ทีเปิดใช้งานการแสดงเครื่องหมายเวลาบนแถวการถ่ายโอนข้อมูลสกิน
-ตกำหนดรูปแบบสำหรับการถ่ายโอนข้อมูลการประทับเวลาที่ยังไม่ได้จัดรูปแบบแต่ละแถว
-tttตั้งค่าการแสดงช่วงเวลา (เป็นไมโครวินาที) ระหว่างการสะสมของช่วงเวลาก่อนหน้า
ของแพ็คเกจนี้ที่แถวผิวหนังของกองขยะ
-tttt
ตั้งค่าการแสดงเครื่องหมายเวลาในรูปแบบมาตรฐานของแถวดัมพ์สกิน
-คุณหมายถึงเอาต์พุตของตัวจัดการ NFS ที่ไม่มีการถอดรหัส -คุณระบุโหมด "การบัฟเฟอร์ระดับแพ็กเก็ต" สำหรับไฟล์ที่บันทึกโดยใช้อ็อพชัน -w เพิ่มเติม
ในโหมดใด แพ็คเกจสกินจะถูกเขียนไปยังไฟล์เอาต์พุต เช่นเดียวกับในกรณีของการบันทึกเท่านั้น
(อย่าตรวจสอบการเติมบัฟเฟอร์เอาต์พุต)ไม่รองรับ Prapor -U หากโปรแกรม tcpdump ถูกคอมไพล์ด้วยตัวเลือก libpcap เก่า ซึ่งไม่รองรับฟังก์ชันนี้
pcap_dump_flush()กำหนดจำนวนข้อมูลสูงสุดที่จะแสดง (เช่น ตัวเลือก telnet SB ... SE จะแสดงอยู่เสมอ)
เมื่อคุณเลือกปุ่ม -X ตัวเลือก Telnet จะปรากฏขึ้นเช่นกัน
ภาษีที่สิบหก<файл>
-ว
ตั้งค่าบันทึกแพ็กเก็ตที่ยังไม่ได้ส่งมอบ
แพ็คเกจที่รวบรวมจากไฟล์สามารถตรวจสอบได้ตลอดเวลาโดยเจ้าหน้าที่อื่น -r หรือถ่ายโอนไปยังโปรแกรมอื่นเพื่อการวิเคราะห์(ตัวอย่างเช่น ไม่มีตัวตน) หากมีการระบุสัญลักษณ์ไว้ในชื่อไฟล์ การบันทึกจะถูกนำไปใช้กับอุปกรณ์เอาท์พุตมาตรฐาน (stdout)-x
ระบุข้อมูลสรุปของดัมพ์เลขฐานสิบหก (ไม่มีส่วนหัว
ระดับช่อง
) สำหรับแพ็คเกจฝังผิวหนังจำนวนข้อมูลที่แสดงจะถูกกำหนดโดยค่าที่น้อยกว่าสองค่า -
ขนาดของแพ็กเกจและค่าของพารามิเตอร์ snaplenเป็นสิ่งสำคัญที่เมื่อมีการจัดเก็บเฟรมใหม่ของระดับช่องสัญญาณ ดัมพ์ยังสามารถรวมไบต์การเติมเต็ม เช่น แพ็กเก็ตระดับขอบ
มันมีขนาดขั้นต่ำ-xx
ตั้งค่าดัมพ์เลขฐานสิบหกสำหรับแพ็คเกจสกินที่มีส่วนหัวระดับช่องสัญญาณรวมอยู่ด้วย<тип> -เอ็กซ์
ระบุว่าดัมพ์จะแสดงในรูปแบบเลขฐานสิบหกและ ASCII โดยไม่มีส่วนหัวระดับช่องสัญญาณ
- ตัวเลือกนี้ยังมีประโยชน์เมื่อวิเคราะห์โปรโตคอลใหม่อีกด้วย
-XX
- ระบุว่าดัมพ์จะแสดงในรูปแบบเลขฐานสิบหกและ ASCII โดยมีส่วนหัวระดับช่องสัญญาณรวมอยู่ด้วย
-y
- ระบุประเภทของระดับช่องสัญญาณที่ได้รับเมื่อมีการฝังแพ็กเก็ต
สามารถดูค่าที่รักษาไว้ได้โดยใช้ Ensign -L
- ใช้มัน
เราจับการจราจรขาออกทั้งหมด
- tcpdump -i re0 -n -nn -ttt โฮสต์ dst 192.168.1.2
เราตรวจจับการรับส่งข้อมูลขาออกทั้งหมดจากเซสชัน ssh ของเราเพื่อให้มีข้อมูลไหลออกมาจำนวนมาก
- tcpdump -i re0 -n -nn -ttt 'โฮสต์ dst 192.168.1.110 และไม่ใช่ (โฮสต์ src 192.168.1.2 และพอร์ต dst 22)'
มุมมองspіlkuvannya dns
- tcpdump -i re0 -n -nn -ttt 'โฮสต์ 192.168.1.110 และพอร์ต 53'
- ตรวจสอบแพ็กเก็ต icmp
tcpdump -i re0 -n -nn -ttt 'ip โปรโต \ icmp'
- การรับส่งข้อมูลที่เปลี่ยนจากเครือข่าย 10.7.20 ไปยังเครือข่าย 10.7.0
หรือ 10.7.24.
- tcpdump -nvX src net 10.7.20.0.0/16 และ dst net 10.7.0.0/8 หรือ 10.7.24.0/16
การรับส่งข้อมูลที่ไปจากขอบเขต 10.7.0.0 ไปยังการกำหนดพอร์ต 22 หรือ 4589:
- tcpdump 'src 10.7.0.0 และ (dst พอร์ต 22 หรือ 4589)'
ตรวจสอบการรับส่งข้อมูลบนอินเทอร์เฟซ:
- ดูปริมาณการใช้งานของโฮสต์เดียว:
โฮสต์ tcpdump 192.168.1.1
- ดูการจราจรบนท่าเรือ:
tcpdump src พอร์ต 80
- ดูการรับส่งข้อมูล IP ไปยังโฮสต์:
โฮสต์ tcpdump Pav253 หรือโฮสต์ Pav210
- มองเห็นได้แทนแพ็คเกจบนอินเทอร์เฟซ re0 ไปยังไซต์
tcpdump -X -i re0 โฮสต์ไซต์
- การจราจรไอซีคิว
tcpdump -X -i re0 พอร์ต aol
- เป็นที่น่าสังเกตว่าแทนที่จะเป็นแพ็กเก็ตบนอินเทอร์เฟซ tun0 ไปยังโฮสต์ ya.ru ให้อ่าน 1,500 ไบต์จากแต่ละแพ็กเก็ตและอย่าแปลง IP เป็นชื่อโฮสต์
tcpdump -X -s 1500 -n -i re0 โฮสต์ไซต์
- นกฤดูหนาวที่มีการใช้งานสูงสุด
tcpdump -tn -c 10,000 -i re0 tcp หรือ udp |
- awk -F ""
'(พิมพ์ $1″.”$2″”$3″”$4)’ |
- \เรียงลำดับ |
uniq-c |
- เรียงลำดับหมายเลข |
ไม่จริง '$1 > 100'<>2)) != 0)’
- มองเห็นแพ็กเก็ต TCP ทั้งหมดจากแฟล็ก SYN (ส่วนหัวของเซสชัน)
tcpdump -i eth0 -nn tcp == 2 และ src net 192.168.1.0/24
มุมมองของแพ็คเกจซินและฟินพร้อมท่า
tcpdump 'tcp & (tcp-syn|tcp-fin) != 0 และไม่ใช่ src และ dst net 192.168.1.0'
ดูแพ็กเก็ต ipv4 http ทั้งหมดจากพอร์ต 80 รวมถึงข้อมูล syn / fin / ack
tcpdump 'พอร์ต tcp 80 และ (((ip - ((ip&0xf))
ดูแพ็คเกจ syn บางอย่าง บทช่วยสอนนี้จะแสดงวิธีแยกการรับส่งข้อมูลในรูปแบบต่างๆ ตั้งแต่ IP, พอร์ต, โปรโตคอล จนถึงการรับส่งข้อมูลในเลเยอร์แอปพลิเคชัน เพื่อให้แน่ใจว่าคุณจะพบสิ่งที่คุณต้องการโดยเร็วที่สุด tcpdump เป็นเครื่องมือที่ทุกคนควรเรียนรู้เพื่อใช้เป็นฐานในการวิเคราะห์แพ็กเก็ต ติดตั้ง tcpdump ด้วย apt install tcpdump (Ubuntu) หรือ yum install tcpdump (Redhat/Centos)เริ่มจากคำสั่งพื้นฐานที่จะรับทราฟฟิก HTTPS ให้กับเรา: tcpdump -nn S X พอร์ต 443 04:45:40.573686 IP 78.149.209.110.27782 > 172.30.0.144 .443 : ตั้งค่าสถานะ [.], ack 278239097, win 28, options , ความยาว 0 0x
4500 0034 0014 0000 2e06 c005 4e8e d16e E..4........N..n 0x0010: ac1e 0090 6c86 01bb 8e0a b73e 1095 9779 ....l......>...y
0x0020:
8010 001c d202 0000 0101 080a 3803 7b55 ............8.(ยู
0x0030: 4801 8100
คุณสามารถเลือกแพ็กเก็ตเดี่ยวด้วย -c 1 หรือ
n
หมายเลขด้วย -c n
สิ่งนี้แสดงการรับส่งข้อมูล HTTPS โดยมีการแสดงเลขฐานสิบหกปรากฏที่ส่วนด้านขวาของเอาต์พุต (อนิจจามันถูกเข้ารหัส)
เพียงจำไว้ว่า—หากมีข้อสงสัย ให้รันคำสั่งด้านบนด้วยพอร์ตที่คุณสนใจ แล้วคุณก็ไปได้เลย ตัวอย่าง PacketWizard™ ไม่ใช่เครื่องหมายการค้าจริงๆ แต่ควรจะเป็น
ผู้ปฏิบัติงานกำลังเตรียมรัน tcpdump
ตอนนี้คุณสามารถดูการรับส่งข้อมูลพื้นฐานแล้ว มาดูตัวอย่างเชิงตัวเลขซึ่งคุณจะต้องใช้สำหรับการทำงาน การรักษาความปลอดภัย หรือ PacketWizard™ ประเภทใดๆ กัน
ทุกอย่างบนอินเทอร์เฟซ
แค่ดูว่าเกิดอะไรขึ้นโดยดูว่ามีอะไรมากระทบอินเทอร์เฟซของคุณ
โฮสต์ เน็ต และพอร์ต
src และ dst
โฮสต์ เน็ต และพอร์ต
tcp, udp, icmp และอื่นๆ อีกมากมาย
โฮสต์ tcpdump 1.1.1.1
06:20:25.593207 IP 172.30.0.144.39270 > one.one.one.one .domain : 12790+ A?
google.com
(28) 06:20:25.594510 IP one.one.one.one .โดเมน > 172.30.0.144.39270: 12790 1/0/0 A 172.217.15.78 (44)
หากคุณต้องการยืนยันเพียงวิธีเดียว คุณสามารถใช้ src และ dst
tcpdump src 1.1.1.1
tcpdump dst 1.0.0.1
การค้นหาแพ็กเก็ตตามเครือข่าย
บีบแพ็กเก็ตไปที่หรือจากเครือข่ายหรือซับเน็ตเฉพาะ ตัวเลือก vikorystyuchi net
คุณสามารถใช้ตัวเลือก src และ dst ได้ตามต้องการ
tcpdump net 1.2.3.0/24
รับเนื้อหาแพ็คเก็ตที่มีเอาต์พุต Hex
เอาต์พุตเลขฐานสิบหกมีประโยชน์เมื่อคุณต้องการดูเนื้อหาของแพ็กเก็ตที่เป็นปัญหา และมักจะใช้ดีที่สุดเมื่อคุณแยกตัวเลือกฟีดเพื่อการตรวจสอบอย่างละเอียดยิ่งขึ้น
tcpdump -c 1 -X icmp
- สรุป
- มีเส้นทางดังกล่าวอยู่ที่นี่
- tcpdump เป็นเครื่องมืออันทรงคุณค่าสำหรับทุกคนที่จะเข้าใจมัน
วิธีการเชื่อมต่อกับการรับส่งข้อมูลแบบ Raw รวมกับความแม่นยำในการตรวจสอบแพ็กเก็ตทำให้เป็นเครื่องมือที่ดีที่สุดในการเรียนรู้ TCP/IP
เครื่องมือวิเคราะห์โปรโตคอลเช่น Wireshark นั้นยอดเยี่ยม หากคุณเป็นผู้เชี่ยวชาญด้านแพ็กเก็ตฟูอย่างแท้จริง คุณจะต้องเป็นหนึ่งในคนกลุ่มแรกที่มี TCPDump
- Velmi ผู้ที่รับผิดชอบในการสละพลังอันยิ่งใหญ่ของคุณไป แต่อีกฝ่ายต้องตำหนิสำหรับสถานการณ์การใช้งานที่ทันสมัยที่สุดและครั้งเดียว
- ฉันหวังว่าสิ่งนี้จะเป็นประโยชน์กับคุณจริงๆ และโปรดอย่าลังเลที่จะตอบคำถามใดๆ
- หมายเหตุ
ภาพชั้นนำมาจาก SecurityWizardry.com
หนึ่งในตัวกรองฉนวนที่ยืมมา
tcpdump - คู่มือของ Korisny พร้อมก้น
15:31:34.079416 IP (tos 0x0, ttl 64, id 20244, ออฟเซ็ต 0, แฟล็ก, โปรโต: TCP (6), ความยาว: 60) source.35970 > dest.80: S, cksum 0x0ac1 (4) 2647022145(0 ) ชนะ 5840 0x0000: 4500 003c 4f14 4006 7417 0afb 0257 E.. 0x0010: 4815 222a 8c82 0050 9dc6 5a41 0000 0000 H."*...P..ZA.... 0x0020 a00 2 16d0 0ac1 0000 0204 05b4 0402 080a ............ 0x0030: 14b4 1555 0000 0000 0103 0302
พื้นฐาน
ด้านล่างนี้คือรายการพารามิเตอร์ที่สามารถกำหนดค่าได้ระหว่างการตั้งค่า tcpdump
ง่ายต่อการลืมและ/หรือสับสนกับตัวกรองประเภทอื่นๆ เช่น Wireshark ดังนั้นหน้านี้อาจเป็นเนื้อหาที่มีประโยชน์สำหรับคุณ
- แกนหลักที่ฉันชอบบันทึกไว้ในความทรงจำคือสาเหตุที่ทำให้ฉันประหลาดใจ
- ตัวเลือก
- -i any: ฟังอินเทอร์เฟซทั้งหมดเพื่อดูการรับส่งข้อมูลมากขึ้น
- -i eth0: ฟังอินเทอร์เฟซ eth0
- -D: แสดงรายการอินเทอร์เฟซที่มีอยู่
- -n: แสดงที่อยู่ IP แทนชื่อโฮสต์
- -nn: แสดงที่อยู่ IP และหมายเลขพอร์ตแทนชื่อโฮสต์และชื่อโปรโตคอล
- -q: แสดงจำนวนข้อมูลขั้นต่ำเกี่ยวกับแพ็คเกจ
- -t: อย่าแสดงไอคอนชั่วโมงในแถวสกิน
- -tttt: ตั้งค่าการแสดงเครื่องหมายเวลาในรูปแบบมาตรฐานสำหรับแถวสกิน
- -X: แสดงแพ็กเก็ตทั้งในรูปแบบเลขฐานสิบหกและ ASCII แทน
- -XX: เหมือนกับ -X แต่ยังแสดงส่วนหัวของอีเธอร์เน็ตด้วย
- -v, -vv, -vvv: เพิ่มจำนวนข้อมูลที่ส่งคืนเกี่ยวกับแพ็กเก็ต
- -c: ลบแพ็คเกจจำนวน x เท่านั้นแล้วดาวน์โหลด
- -s: ส่งกลับความยาวสแนปสูงสุดเป็นไบต์
- Vikorist -s0 เพื่อที่จะลบทุกอย่างออกเนื่องจากคุณไม่ได้ฝังมันน้อยลง -S: หมายเลขซีเรียลที่แน่นอนนั้นแตกต่างกัน-e: ลบส่วนหัว Ethernet
- -q: แสดง
เกี่ยวกับแพ็คเกจ
-E: ถอดรหัสการรับส่งข้อมูล IPSEC โดยป้อนคีย์เข้ารหัส [ค่า snaplength สำหรับ tcpdump 4.0 มีการเปลี่ยนแปลงจาก 68 เป็น 96 ไบต์ฉันต้องการให้ข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเกจ แต่ไม่ใช่ข้อมูลทั้งหมด
Vikorist -s1514 หรือ -s0 เพื่อถอดด้านนอกของร่องลึกออก
วิราซี
นิพจน์ของ tcpdump ช่วยให้คุณสามารถลบได้
ประเภทต่างๆ
การจราจรและรู้ว่าสิ่งที่คุณกำลังมองหา
ตอนนี้เรารู้แล้วว่ามีตัวเลือกอะไรบ้าง เรามาดูการใช้งานจริงบางอย่างที่เรามั่นใจว่าต้องใช้ในการทำงานในแต่ละวันกันดีกว่า
ความต้องการโดยทั่วไป
แค่ประหลาดใจกับสิ่งที่เกิดขึ้นเมื่อคุณดูอินเทอร์เฟซทั้งหมด
# tcpdump -i อะไรก็ได้
อินเทอร์เฟซเฉพาะ
ข้อความส่วนใหญ่เกี่ยวกับข้อความที่ปรากฏบนอินเทอร์เฟซเฉพาะ
# tcpdump -i eth0
การบริจาค VISNOVKU ที่ยังไม่ได้ดำเนินการ
การรายงานโดยไม่ได้รับอนุญาตจากชื่อโฮสต์หรือหมายเลขพอร์ต หมายเลขลำดับที่แน่นอน และการประทับเวลา
# tcpdump -ttttnnvvS
ค้นหาการจราจรตาม IP
หนึ่งในคำขอที่แพร่หลายที่สุด นี่จะแสดงให้คุณเห็นการรับส่งข้อมูลจาก 1.2.3.4 ซึ่งเป็นที่ที่มันอยู่
# โฮสต์ tcpdump 1.2.3.4
ตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับแพ็คเกจที่มีระบบเลขฐานสิบหก
ฉบับร่างที่สิบหกจะเป็นสีน้ำตาลหากคุณต้องการใช้แทนการดูบรรจุภัณฑ์ และมักจะดีกว่าถ้าใช้หากคุณแยกผู้สมัครจำนวนหนึ่งเพื่อให้การเลือกแม่นยำยิ่งขึ้น
# tcpdump -nnvXSs 0 -c1 icmp tcpdump: กำลังฟังบน eth0, ประเภทลิงก์ EN10MB (Ethernet), 23:11:10.370321 IP (tos 0x20, ttl 48, id 34859, 43.4 > 72.21.34.42: icmp 64: echo คำขอ seq 0 0x0000: 4520 0054 882b 0000 3001 7cf5 45fe d52b E..T.+..0.|.E.+ 0x2 000 00 "..50"..%..D 0x0020: ae5e 0500 0809 0a0b 0c0d 0e0 ฉ 1011 1213 .^............. 0x0030: 1415 1617 1819 1a2 ..........!"# 0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%& " ()*+,-./0123 0x0050: 3435 3637 4567 แพ็กเก็ต 1 แพ็คที่ถูกทิ้งโดยเคอร์เนล
การกรองสำหรับ Jerels และการรับรู้
ง่ายมากที่จะเห็นปริมาณการใช้ข้อมูลตาม src และ dst
# tcpdump src 2.3.4.5 tcpdump dst 3.4.5.6
ซื้อแพ็คเกจตาม MEREZHA
หากต้องการค้นหาแพ็กเกจที่จะไปหรือกลับจากขีดจำกัดเพลง โปรดไปที่ net
คุณสามารถใช้อ็อพชัน src หรือ dst
# tcpdump net 1.2.3.0/24
แสดงการจราจรทางโทรศัพท์ไปยังท่าเรือพิเศษ
คุณสามารถค้นหาพอร์ตการรับส่งข้อมูลเฉพาะได้โดยใช้ตัวเลือกพอร์ต ตามด้วยหมายเลขพอร์ต
# พอร์ต tcpdump 3389 พอร์ต tcpdump src 1025
แสดงการจราจรสำหรับหนึ่งโปรโตคอล
หากคุณกำลังมองหาการรับส่งข้อมูลประเภทนี้ คุณสามารถใช้ tcp, udp, icmp และอื่นๆ อีกมากมาย
#tcpdump icmp
แสดงประเภทการจราจร IP6
คุณสามารถดูการรับส่งข้อมูล IP6 ทั้งหมดได้โดยเลือกตัวเลือกโปรโตคอล
ค้นหาการจราจรในผู้ชนะในช่วงพอร์ต
คุณยังสามารถเรียกดูช่วงพอร์ตเพื่อดูการรับส่งข้อมูลได้
# tcpdump พอร์ต 21-23
หากคุณกำลังมองหาบรรจุภัณฑ์ที่มีขนาดเล็ก คุณสามารถเปลี่ยนพารามิเตอร์เหล่านี้ได้
คุณสามารถสำรวจสัญลักษณ์ขนาดเล็ก ใหญ่ และคล้ายกันได้ในขณะที่คุณเรียนรู้เกี่ยวกับคณิตศาสตร์<= 128
# tcpdump น้อยกว่า 32 tcpdump มากกว่า 64 tcpdump
รายการไฟล์จดหมาย
การบันทึกผลลัพธ์ของแบทช์ลงในไฟล์มักจะเป็นประโยชน์สำหรับการวิเคราะห์ในอนาคต
ไฟล์เหล่านี้รู้จักกันในชื่อไฟล์ PCAP (PEE-cap) และสามารถประมวลผลได้ด้วยโปรแกรมต่างๆ หลายร้อยโปรแกรม รวมถึงเครื่องวิเคราะห์ขอบ ระบบตรวจจับการบุกรุก และที่สะดุดตาที่สุดคือ tcpdump นั่นเอง
ที่นี่เราเขียนไฟล์จากชื่อ capture_file โดยใช้คีย์ -w
# พอร์ต tcpdump 80 -w capture_file
การอ่านไฟล์ใน PCAP
คุณสามารถอ่านไฟล์ PCAP ได้โดยใช้สวิตช์ -r
โปรดทราบว่าคุณสามารถคัดลอกคำสั่งปกติทั้งหมดใน tcpdump ได้ภายในหนึ่งชั่วโมงที่อ่านไฟล์
นอกจากนี้คุณยังถูกจำกัดด้วยความจริงที่ว่าคุณไม่สามารถบันทึกหรือลบสิ่งที่ไม่ได้อยู่ในไฟล์ได้
# tcpdump -r capture_file
การขยาย
ตอนนี้ เนื่องจากเราได้เรียนรู้แล้วว่าเราสามารถทำอะไรได้บ้างจากพื้นฐานโดยอาศัยความช่วยเหลือจากการใช้งานจริงบางส่วน เรามาดูสุนทรพจน์ที่ซับซ้อนบางส่วนกัน
ทั้งหมดนี้เกี่ยวกับการรวมกัน
การทำงานในการกล่าวสุนทรพจน์ที่แตกต่างกันทีละรายการถือเป็นส่วนที่ยุ่งยาก และความมหัศจรรย์ที่แท้จริงของ tcpdump คือการดึงแนวคิดนี้ออกมาด้วยวิธีที่สร้างสรรค์เพื่อแยกสิ่งที่คุณกำลังมองหา
มีสามวิธีในการสร้างชุดค่าผสม และเมื่อคุณเข้าสู่โปรแกรมแล้ว กลิ่นก็จะคุ้นเคยอยู่แล้ว
และ
และหรือ &&
หรือ
หรือหรือ ||
ยกเว้น
ไม่หรือ!
แกนก้นของคำสั่งรวม
IP เฉพาะ Z ที่ฉันกำหนดให้กับพอร์ตที่ได้รับมอบหมาย
เราทราบการรับส่งข้อมูลทั้งหมดจาก 10.5.2.3 ไปยังโฮสต์ใดๆ บนพอร์ต 3389
Tcpdump -nnvvS src 10.5.2.3 และพอร์ต dst 3389
มุมมองของมาตรการเดียวก่อน INSHO
ลองดูปริมาณการรับส่งข้อมูลทั้งหมดที่เปลี่ยนจาก 192.168.x.x และขัดข้องเป็นอย่างน้อย 10.x หรือ 172.16.x.x และเราจะแสดงขั้นตอนที่สิบหกโดยไม่มีชื่อโฮสต์และรายละเอียดเพิ่มเติมหนึ่งระดับ
Tcpdump -nvX src net 192.168.0.0/16 และ dst net 10.0.0.0/8 หรือ 172.16.0.0/16
การรับส่งข้อมูลที่ไม่ใช่ ICMP ไปยัง IP ที่เฉพาะเจาะจง
การจัดกลุ่มที่ซับซ้อนยิ่งขึ้นและสัญลักษณ์พิเศษ
นอกจากนี้ โปรดทราบว่าเมื่อสร้างคำสั่งแบบพับ คุณอาจต้องจัดกลุ่มพารามิเตอร์ vikory และขาเดี่ยวของคุณ
มีการใช้ขาเดี่ยวเพื่อเข้าสู่ tcpdump ซึ่งต้องละเว้นอักขระพิเศษบางตัว - ในกรณีนี้คืออักขระที่อยู่ในกลุ่ม "()"
วิธีนี้สามารถใช้ในการจัดกลุ่มกับไวรัสอื่นๆ เช่น โฮสต์ พอร์ต ขอบเขต ฯลฯ
ประหลาดใจกับคำสั่งด้านล่าง
# การรับส่งข้อมูลที่มาจาก 10.0.2.4 และกำหนดไว้สำหรับพอร์ต 3389 หรือ 22 (ผิด) tcpdump src 10.0.2.4 และ (dst พอร์ต 3389 หรือ 22)
หากคุณพยายามที่จะลบคำสั่งที่แย่กว่านี้ออกไปในสถานการณ์อื่น คุณจะเอานมออกทางแขน
คุณสามารถแก้ไขได้โดยการย้ายจากส่วนโค้ง (โดยวางไว้ด้านหน้าผิวหนัง) หรือโดยการวางทั้งทีมด้วยอุ้งเท้าเดียว:
# การรับส่งข้อมูลที่มาจาก 10.0.2.4 และกำหนดไว้สำหรับพอร์ต 3389 หรือ 22 (ถูกต้อง) # tcpdump "src 10.0.2.4 และ (dst พอร์ต 3389 หรือ 22)"
การแยกรหัส TCP เฉพาะ
คุณยังสามารถฝังการรับส่งข้อมูลตามพอร์ต TCP ได้อีกด้วย
[หมายเหตุ: ตัวกรองด้านล่างรู้จักแพ็กเก็ตที่แตกต่างกันเนื่องจาก tcp ทำเครื่องหมายออฟเซ็ต 13 ในส่วนหัว TCP ตัวเลขแสดงถึงตำแหน่งของออฟเซ็ตเป็นไบต์ และ!
= 0 หมายความว่าแฟล็กนี้ตั้งค่าเป็น 1 แล้ว
วิน วิมคเนนี
-
แสดงแพ็คเกจด่วน (URG) ทั้งหมด...
# tcpdump "tcp & 32!=0"
แสดงแพ็กเก็ต ACKNOWLEDGE ทั้งหมด (ACK) ...
# tcpdump "tcp & 16!=0"
แสดงแพ็คเกจ PUSH ทั้งหมด (PSH) ...
# tcpdump "tcp & 8!=0"
แสดงแพ็คเกจ RESET ทั้งหมด (RST) ...
# tcpdump "tcp & 4!=0"
แสดงแพ็คเกจ SYNCHRONIZE ทั้งหมด (SYN) ...
# tcpdump "tcp & 2!=0"
แสดงแพ็คเกจ FINISH (FIN) ทั้งหมด...
# tcpdump "tcp & 1!=0"
แสดงแพ็คเกจ SYNCHRONIZE / ACKNOWLEDGE ทั้งหมด (SYNACK) ...
# tcpdump "tcp=18" [หมายเหตุ: เฉพาะ PSH, RST, SYN และ FIN เท่านั้นที่จะแสดงในช่อง tcpdump ที่แสดง
ค้นหาสูตรอาหารง่ายๆ จำนวนหนึ่งที่คุณต้องการจดจำเพื่อป้องกันการรับส่งข้อมูลเฉพาะและเฉพาะทาง เช่น แพ็กเก็ตที่ไม่ถูกต้อง/เสียหายโดยไม่คาดคิด
แพ็คเกจที่ประกอบด้วยชุดอุปกรณ์ RST และ SYN (ซึ่งไม่ใช่ความผิดของคุณ)
# tcpdump "tcp = 6"
รู้ VIDCRITY ข้อความ HTTP และตัวพิมพ์ใหญ่ของตัวเลือก
# tcpdump "tcp = 0x47455420"
ค้นหาการเชื่อมต่อ SSH บนพอร์ตใดก็ได้ (ผ่านแบนเนอร์)
# tcpdump "tcp[(tcp>>2):4] = 0x5353482D"
แพ็กเก็ตที่มี TTL น้อยกว่า 10 (กฎนี้แสดงให้เห็นถึงปัญหาของ VICORIST TRACEROUTE)
#tcpdump "ip< 10"
แพ็คเกจที่มีการติดตั้ง EVIL BIT
# tcpdump "ไอพี & 128 ! = 0"
วิสโนวอค
tcpdump เป็นเครื่องมืออันทรงคุณค่าสำหรับทุกคนที่ต้องการมีส่วนร่วมในการรักษาความปลอดภัยข้อมูล
วิธีโต้ตอบกับการรับส่งข้อมูลที่ไม่เหมือนใคร โดยอิงตามความแม่นยำที่ใช้ในการตรวจสอบแพ็กเก็ต ใช้เครื่องมือแปลง TCP/IP ล่าสุด
เครื่องมือวิเคราะห์โปรโตคอล เช่น Wireshark นั้นยอดเยี่ยมมาก หากคุณต้องการดัมพ์แพ็กเก็ตอย่างมีประสิทธิภาพ คุณควรดัมพ์ tcpdump ทันที
ซากาลอม ผู้ช่วยคนนี้มีหน้าที่ช่วยให้คุณแข็งแกร่งขึ้น และการดูแลด้านข้างจะเป็นประโยชน์เสมอสำหรับสถานการณ์ที่ก้าวหน้าที่สุดและเกิดขึ้นเพียงครั้งเดียวของวิโคริสถาน
ให้เราช่วยคุณทำกิจวัตรประจำวันและสร้างอาชีพของคุณ
- 100% ของผู้สำเร็จการศึกษาของเราผ่านการฝึกอบรมทางการแพทย์
- คุณจะเริ่มต้นอย่างไร?
- เราดำเนินการบรรยายออนไลน์ตอนเย็นบนแพลตฟอร์มของเราหรือเริ่มต้นที่สำนักงานเคียฟ
- เราถามคุณเกี่ยวกับสิ่งที่มีประโยชน์ในการฝึกฝนและให้เราอธิบาย: แน่นอนว่ามีเวลาเรียนไม่เพียงพอ
หากคุณต้องการตารางเวลาส่วนตัว เราสามารถพูดคุยกันได้