Tcpdump Là Gì

Nếu bạn thực hiện phiên bản hệ điều hành quản lý unix/linux, tcpdump để giúp đỡ bạn bình chọn lưu lượng mạng và lưu lại mọi gói tin bắt được. Nội dung bài viết dưới đây đang giúp các bạn hiểu hơn về tcpdump là gì với cách setup một số lệnh cơ bản tcpdump bên trên Linux. Hãy cùng theo dõi nhé!


*

 Tcpdump sẽ giúp bạn phân những gói dữ liệu cân xứng với cái lệnh với theo, nắm thể:

- Bắt phiên bản tin với lưu bởi định dạng PCAP (có thể đọc bởi vì wireshark)

- thấy được trực tiếp các phiên bản tin điều khiển hệ thống Linux sử dụng wireshark, xem cụ thể remote packet capture using Wireshark và tcmpdump 

- có thể nhìn thấy các bản tin trên DUMP trên terminal

- Tạo các bộ thanh lọc Filter để bắt bạn dạng tin cần thiết như : http, ssh, fpt…

- dường như tcmpdump còn áp dụng nhiều option khác biệt nữa


5. Cài đặt một số lệnh sử dụng Tcpdump cơ bản trên Linux
Cài đặt Tcpdump bên trên Linux

Nếu mong sử dụng được lệnh tcpdump bên trên Linux bạn phải sở hữu một gói tên như bên dưới đây: 

Ubuntu, ta cần sử dụng lệnh

sudo apt-get install tcpdump -y

CentOS

yum install tcpdump -y


Một số lệnh cơ bạn dạng sử dụng tcmpdump bên trên Linux

- Bắt gói tin theo địa chỉ cửa hàng nguồn 

tcpdump -i emp0s3 src 192.168.100.1

- Bắt gói tin theo showroom đích

tcpdump -i emp0s3 dst 192.168.100.1

- Xem các interface vẫn hoạt động

*

- Bắt gói tin bên trên interface

tcpdump -i

- Bắt những gói theo port

tcpdump -i enp0s3 port 22 -c 5 -n

*

 -n: Hiển thị số port cố kỉnh cho tên giao thức, IP thế cho Hostname

- Bắt theo các gói TCP giữa hai host

tcpdump -i enp0s3 tcp -c 5

*

 Ngoài ra còn có thể bắt theo UDP, IMCP,...

Bạn đang xem: Tcpdump là gì

- Bắt gói tin cùng với tùy lựa chọn -c

Mặc định, tcmpdump đã bắt thường xuyên các gói tin. Thao tác làm việc tổ đúng theo phím Ctrl + C. Tuy nhiên với tùy chọn -c, chúng ta có thể chỉ mang đến tcpdump biết là "Tôi chỉ ao ước bắt n gói."

n - là số gói tin đề xuất bắt

 Cú pháp như sau:

tcpdump -c n -i enp0s3

*

 - Đọc các gói tin nhỏ tuổi hơn N byte

Bạn rất có thể chỉ nhận thêm những gói tin bé dại hơn N byte thông qua bộ lọc “less”.

$ tcpdump -w l_1024.pcap less 1024

- Lưu tệp tin .pcap (Wireshark)

tcpdump -i enp0s3 -w /opt/capture.pcap

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture kích cỡ 65535 bytes

4 packets captured

4 packets received by filter

0 packets dropped by kernel

- Đọc file PCAP

*

- Hiển thị các gói tin được bắt trong hệ ASCII trải qua Tcpdump -A

$ tcpdump -A -i eth0

tcpdump: verbose đầu ra suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture kích thước 96 bytes

14:34:50.913995 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: p. 1457239478:1457239594(116) ack 1561461262 win 63652

E.....
.
..>..i...9...*.V...>...P....h....E...>{..U=...g.

......G..7+KA....A...L.

14:34:51.423640 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: p. 116:232(116) ack 1 win 63652

E.....
.
....i...9...*.V..*>...P....h....7......X..!....Im.S.g.u:*..O&....^#Ba...

E..(R.
.|.....9...i.*...>...V..*P..OWp........

- Hiển thị những gói tin được bắt bên dưới dạng HEX và ASCII thông qua Tcpdump -XX

$tcpdump -XX -i eth0

18:52:54.859697 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . Ack 232 win 16511

0x0010: 0028 042a 4000 7906 c89c 10b5 aaf6 0f9a .(.*
.y.........

0x0020: 69c4 f999 0016 57db 6e08 c712 ea2e 5010 i.....W.n.....P.

0x0030: 407f c976 0000 0000 0000 0000
..v........

18:52:54.877713 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3

0x0010: 0024 0000 0000 0102 3ad3 0a00 0000 e000 .$......:.......

0x0030: 0000 0000 0000 0000 0000 0000 ............

Xem thêm: Mua Lg G3 Cat6 Ở Đâu - Lg G3 Cat 6 F460 Cũ Giá Rẻ Xách Tay

- Đọc những gói tin từ một file thông qua Tcmpdump -r

$tcpdump -tttt -r data.pcap

0x0000: 0200 000a ffff 0000 ffff 0c00 3c00 0000 .............).....

0x0030: 569c 6938 0000 0000 8e07 0000 V.i8........

- Bắt các gói tin với các dấu thời hạn thông qua Tcpdump -tttt

$ tcpdump -n -tttt -i eth0

- Bắt gói tin với địa chỉ IP thông qua Tcmpdump -n

$ tcpdump -n -i eth0

15:01:35.170763 IP 10.0.19.121.52497 > 11.154.12.121.ssh: p. 105:157(52) ack 18060 win 16549

15:01:35.170776 IP 11.154.12.121.ssh > 10.0.19.121.52497: p 23988:24136(148) ack 157 win 113

15:01:35.170894 IP 11.154.12.121.ssh > 10.0.19.121.52497: p 24136:24380(244) ack 157 win 113

- Bắt gói tin cùng ghi vào một trong những file trải qua Tcmdump -w

$ tcpdump -w 08232010.pcap -i eth0

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture kích cỡ 96 bytes

32 packets captured

32 packets received by filter


6. Biểu thức Tcpdump

Biểu thức của lệnh tcmdump cung cấp cho chính mình cơ hội thêm lập trình vào chọn lựa gói. Cỗ hướng dẫn này được viết thành một dòng, khác với một chương trình thông thường. Nếu như bạn thường xuyên thực hiện Unix hoặc Linux, bạn sẽ nhanh giường quen ngay với những biểu thức thân thuộc của kịch phiên bản lệnh shell và tiêu giảm sự chũm khi gọi định dạng những bộ lọc này.

Các gói thỏa mãn nhu cầu bài bình chọn đều được khối hệ thống lưu lại, vị vậy công dụng của từng biểu thức đề có giá trị đúng.

Dưới đây là một vài bộc lộ rất ít gặp gỡ trong kịch bạn dạng lệnh shell :

len

Điều này trả về độ lâu năm của một gói. Lấy ví dụ như sử dụng: len! = 5.

- proto

Trong đối tượng người sử dụng này:

nguyên sinh là tên gọi của một tờ giao thức. Nó có thể:

 ête

fddi

ip

arp

hiếm

tcp

udp

icmp

expr là phần bù byte. Điều này cần phải đưa vào, nhưng nó rất có thể được đưa ra là 0 để đưa giá trị từ đầu đối tượng.

kích thước là tùy chọn và nó đại diện thay mặt cho số byte trong tùy chọn. Quý hiếm mặc định là 1, tuy vậy cũng hoàn toàn có thể là 2, 3 hoặc 4.

Ví dụ sử dụng:

ether <0> và 1! = 0 đúng với tất cả lưu lượng truy vấn phát đa hướng.

ip <0> & 0xf! = 5 đúng với toàn bộ các gói IP với những tùy chọn.

ip <6: 2> & 0x1fff = 0 đúng với những datagram ko phân mảnh và các số 0 của các datagram bị phân mảnh.


7. Các thông số kỹ thuật thường chạm mặt trong Tcpdump

Tham số tcmdump nói một cách khác là nguyên thủy, được lấy tài liệu từ những máy nhà chỉ định. Các tham số này được thể hiện dưới dạng các điều kiện bằng cách sử dụng các toán tử Boolean và, hoặc là, cùng không phải. Bạn sẽ không bắt buộc đặt lốt (=) với đặt tham số khoảng chừng trắng gồm dấu chấm câu giữa tên thông số và quý giá của nó.

Hiện nay, có tương đối nhiều thông số phổ biến, thông số hay được sử dụng nhất là sever lưu trữ cho phép người dùng giới hạn việc chụp nhằm truyền đi tự nguồn. Tùy thuộc vào trường phù hợp khác nhau, tên thiết bị có tác dụng gía trị tham số hoàn toàn có thể được gắng bằng showroom khác nhau. 

Tham số tất cả một dst phiên bản, đổi thay thể này sẽ giới hạn đầu ra của những gói tin gồm thuộc tính đó mang đến đích của nó. Các thông số src kiếm tìm kiếm những gói có mức giá trị mang lại trong dữ liệu liên quan đến mấu chốt của chúng.

Dưới đấy là một số tùy chọn tham số thường xuyên gắp vào tcmdump :

- thư mục

 thư mục – chụp ví như hướng khung người 802.11 802.11 là thư mục, kia là một số trong những hoặc:

- gật đầu

- tods

- từ

- dstods

- wlan addr2  ehost – chụp nếu địa chỉ cửa hàng IEEE 802.11 sản phẩm công nghệ hai là ehost

- wlan addr3 ehost – chụp nếu showroom IEEE 802.11 thứ bố là ehost

- wlan addr4 ehost – nếu add IEEE 802.11 thứ tứ là ehost. Chỉ được sử dụng cho WDS

- ête ehost – cực hiếm từ / etc / ethers hoặc một số. Cũng vậy ether src và số phận ether.

- cửa ngõ ngõ tổ chức – nhận các gói được truyền qua cổng tổ chức

- mạng lưới thương hiệu mạng – IP nguồn hoặc IP đích bao hàm mạng_num. Cũng như vậy mạng dst và mạng src

- hải cảng  số | thương hiệu – cũng vậy cổng dst cùng cổng src. Hoàn toàn có thể với tcp hay những udp để tránh giao thức

- ip proto  giao thức – chụp các gói IP của giao thức được đặt tên. Tên buộc phải trong / etc / giao thức


8. áp dụng Tcpdump đến Windows

Ngoài Linux, còn có phiên bản chuyển thể của tcmdump trên Windows được call là Windump và phụ thuộc Wincap để mà chụp gói tương tự như tcmpdump sử dụng tính năng pcap của lipcap.

Wincap thuộc sở hữu của Riverbed Technology, đó cũng là bên tài trợ mang lại Wireshark được biết gói nổi tiếng và được sử dụng rộng rãi trên khắp chũm giới. Phiên phiên bản không dây của Wincap được hotline là Aircap. Bạn cũng có thể tải xuống Windump, Wincap cùng aircap miễn phí tổn từ website của Wincap.


9. Lời kết

Như vậy, qua bài viết trên Nhân Hòa đã giúp đỡ bạn hiểu rõ rộng về tcmdump, hy vọng các bạn sẽ sử dụng phương tiện này một phương pháp hữu ích. Chúc chúng ta thành công!

*

Khách hàng có nhu cầu đăng cam kết tên miền, đăng ký thư điện tử doanh nghiệp, hosting wordpress giá rẻ, vps, ssl... Xin vui mắt đăng cam kết tại Nhân Hòa để được hưởng ưu đãi giá tốt nhất. Trân trọng!

+ Chỉ đường: https://g.page/oimlya.comcom

+ Chương trình tặng ngay mới nhất: https://oimlya.com/khuyen-mai.html

————————————————————

https://oimlya.com

Hotline: 1900 6680

Trụ sở chính: Tầng 4 - Tòa đơn vị 97-99 trơn Hạ, Đống Đa, Hà Nội

oimlya.com

Chi nhánh: 270 Cao chiến hạ (nối dài), Phường 12, Quận 10, Tp.HCM

oimlya.com

Bài viết cùng công ty đề


Thông báoXem vớ cả

Tuyển dụngXem tất cả

Công nghệXem tất cả

Web4stepXem tất cả