Рейтинг@Mail.ru
Сервера
Примеры Tcpdump в Linux. Осваиваем инструмент хакеров
anton
02-02-2019 18:55
5 мин на чтение
964 views
0

В этой статье мы покажем практические примеры tcpdump в Linux, чтобы повысить ваш опыт для устранения неполадок и тестирования безопасности в сети. Здесь представлены команды и советы не только для использования tcpdump, но и для освоения вашей сети.

Знание tcpdump – это важный навык, который пригодится любому системному администратору, сетевому инженеру или специалисту по безопасности.

Первые основы Tcpdump

Разбивка командной строки Tcpdump

Следующая команда использует общие параметры, часто встречающиеся при использовании инструмента tcpdump.

-i: интерфейс, на котором будет происходить захват трафика. Здесь часто указывается карта Ethernet или беспроводной адаптер, но также может быть vlan. Опцию не требуется указывать, если в компьютере только один сетевой адаптер.

-nn: одиночный (n) не разрешает имена хостов. Двойной (nn) не разрешит имена хостов или порты. Это удобно не только для просмотра номеров IP/портов, но и для захвата большого объема данных, поскольку разрешение имен замедляет захват трафика.

-s0: длина привязки, это размер пакета для захвата. -s0 установит неограниченный размер – используйте это, если вы хотите захватить весь трафик.

-v: использование (-v) или (-vv) увеличивает количество деталей, отображаемых в выходных данных, часто показывая больше информации, специфичной для протокола.

порт 80: это общий фильтр портов для захвата трафика только через порт 80, который обычно является протоколом HTTP.

Захват по протоколу

Фильтр по UDP трафику. Другой способ указать это – использовать номер порта 17, которым является протокол UDP. Эти две команды будут давать одинаковый результат.

Захват хостов на основе IP-адреса

Использование фильтра узла будет захватывать трафик, идущий к (месту назначения) и от (источника) IP-адреса.

В качестве альтернативы перехватывать только пакеты, идущие в одну сторону, используя src или dst.

Режим линейной буферизации

При использовании этой опции выходные данные немедленно отправляются в конвейерную команду grep, что дает немедленный ответ при устранении неполадок.

Практические примеры tcpdump в Linux

Во многих из этих примеров tcpdump linux есть ряд способов для достижения нужного результата. Как видно из некоторых примеров, можно захватывать пакеты вплоть до отдельных битов.

Метод, который вы будете использовать, будет зависеть от вашего желаемого выхода и количества трафика. Захват трафика на занятой гигабитной линии связи может заставить вас использовать специальные низкоуровневые фильтры пакетов.

При устранении неполадок на сети вы, как правило, просто хотите получить быстрый результат. Фильтрация по порту и выбор вывода ascii в сочетании с grep, cut или awk часто дают такой результат. Вы всегда можете углубиться в пакет, если требуется.

Например, при получении HTTP-запросов и ответов вы можете отфильтровать все пакеты, кроме данных, удалив SYN / ACK / FIN, однако, если вы используете grep, лишнее все равно будет отфильтровано. Будьте проще.

Это можно увидеть в следующих примерах tcpdump linux, где цель состоит в том, чтобы получить результат самым простым (и, следовательно, самым быстрым) способом.

Извлечение имени пользователя HTTP

Извлечение имени пользователя HTTP из заголовка запроса HTTP.

Извлечение HTTP-паролей в POST-запросах.

Получим несколько паролей из данных POST. Будет включать Host: и запрос местоположения, чтобы мы знали, для чего используется пароль.

Захват всех ICMP-пакетов

Посмотреть все пакеты ICMP на интерфейсе.

Захват электронной почты SMTP / POP3

Можно извлечь тело письма и другие данные, в этом примере мы только анализируем получателей электронной почты.

Захват трафика IPv6

Захват трафика IPv6 с помощью фильтра ip6. В этих примерах мы указали протоколы TCP и UDP, используя proto 6 и proto 17.

Tcpdump – мощный инструмент

Эти примеры, советы и команды tcpdump предназначены для того, чтобы дать вам базовое понимание возможностей. В зависимости от того, что вы пытаетесь достичь, существует множество способов углубиться или комбинировать различные фильтры захвата в соответствии с вашими требованиями.

Сочетание tcpdump с Wireshark – мощная комбинация, особенно когда вы хотите углубиться в сеансы прикладного уровня.

Спасибо за прочтение. Удачного анализа пакетов!

 

 


 

Мы оказываем услуги по ремонту и настройке компьютеров, смартфонов, планшетов, wi-fi роутеров, модемов, IP-TV, принтеров. Качественно и недорого. Возникла проблема? Заполните форму ниже и мы Вам перезвоним.