У овом водичу ћемо показати како да инсталирате тцпдумп на Линук систем и како да ухватите и анализирате ТЦП/ИП пакете користећи тцпдумп.
Како инсталирати Тцпдумп
Тцпдумп је унапред инсталиран на многим Линук дистрибуцијама. Али ако већ није инсталиран на вашем систему, можете инсталирати тцпдумп на ваш Линук систем. Да бисте инсталирали тцпдумп на Убунту 22.04 систем, користите следећу команду:
$ судо апт инсталл тцпдумп
Да бисте инсталирали тцпдумп на Федора/ЦентОС, користите следећу команду:
$ судо днф инсталл тцпдумп
Како ухватити пакете помоћу команде Тцпдумп
Да бисте ухватили пакете помоћу тцпдумп-а, покрените терминал са судо привилегијама користећи „Цтрл+Алт+т“. Овај алат укључује различите опције и филтере за хватање ТЦП/ИП пакета. Ако желите да ухватите све текуће пакете тренутног или подразумеваног мрежног интерфејса, користите команду „тцпдумп“ без икаквих опција.
$ судо тцпдумп
Дата команда хвата пакете подразумеваног мрежног интерфејса вашег система.
На крају извршења ове команде, сви ухваћени и филтрирани бројеви пакета се приказују на терминалу.
Хајде да разумемо излаз.
Тцпдумп омогућава анализу заглавља ТЦП/ИП пакета. Приказује једну линију за сваки пакет, а команда наставља да ради све док не притиснете „Цтрл+Ц“ да је зауставите.
Свака линија коју обезбеђује тцпдумп садржи следеће детаље:
- Уник временска ознака (нпр. 02:28:57.839523)
- Протокол (ИП)
- Изворно име хоста или ИП и број порта
- Име одредишног хоста или ИП и број порта
- ТЦП заставице (нпр. Заставице [Ф.]) које указују на стање везе са вредностима као што су С (СИН), Ф (ФИН). (АЦК), П (ПУСХ), Р (РСТ)
- Редни број података у пакету (нпр. секвенца 5829:6820)
- Број потврде (нпр. потврда 1016)
- Величина прозора (нпр. вин 65535) која представља доступне бајтове у баферу за пријем праћен ТЦП опцијама
- Дужина корисног оптерећења података (нпр. дужина 991)
Да бисте навели листу свих мрежних интерфејса вашег система, користите команду „тцпдумп“ са опцијом „-Д“.
$ судо тцпдумп -Дили
$ тцпдумп --лист-интерфацесОва команда наводи све мрежне интерфејсе који су повезани или покренути на вашем Линук систему.
Снимите пакете наведеног мрежног интерфејса
Ако желите да ухватите ТЦП/ИП пакете који пролазе кроз одређени интерфејс, користите ознаку '-и' са командом 'тцпдумп' и наведите име мрежног интерфејса.
$ судо тцпдумп -и ло 
Дата команда хвата саобраћај на „ло” интерфејсу. Ако желите да прикажете опширне или детаљне информације о пакету, користите ознаку „-в“. Да бисте одштампали свеобухватније детаље, користите ознаку „-вв“ са командом „тцпдумп“. Редовна употреба и анализа доприносе одржавању робусног и безбедног мрежног окружења.
Слично томе, можете да ухватите саобраћај на било ком интерфејсу користећи следећу команду:
$ судо тцпдумп -и било који 
Снимите пакете користећи одређени порт
Можете да ухватите и филтрирате пакете тако што ћете навести име интерфејса и број порта. На пример, да бисте ухватили мрежне пакете који пролазе кроз „енп0с3“ интерфејс користећи порт 22, користите следећу команду:
$ тцпдумп -и енп0с3 порт 22Претходна команда хвата све пакете који теку из интерфејса „енп0с3“.
Снимите ограничене пакете помоћу Тцпдумп-а
Можете користити ознаку '-ц' са командом 'тцпдумп' да ухватите одређени број пакета. На пример, да бисте ухватили четири пакета на интерфејсу „енп0с3“, користите следећу команду:
$ тцпдумп -и енп0с3 -ц 4 
Замените име интерфејса користећи свој систем.
Корисне Тцпдумп команде за снимање мрежног саобраћаја
У наставку смо навели неке корисне „тцпдумп“ команде које ће вам помоћи да ефикасно ухватите и филтрирате мрежни саобраћај или пакете:
Користећи команду „тцпдумп“, можете ухватити пакете интерфејса са дефинисаном одредишном ИП или изворном ИП-ом.
$ тцпдумп -и {интерфаце-наме} дст {дестинатион-ип}Можете снимити пакете са величином снимка од 65535 бајтова што се разликује од подразумеване величине од 262144 бајта. У старијим верзијама тцпдумп, величина снимања је била ограничена на 68 или 96 бајтова.
$ тцпдумп -и енп0с3 -с 65535 
Како сачувати снимљене пакете у датотеку
Ако желите да сачувате снимљене податке у датотеку за даљу анализу, можете то учинити. Он хвата саобраћај на одређеном интерфејсу, а затим га чува у '.пцап' датотеку. Користите следећу команду да сачувате снимљене податке у датотеку:
$ тцпдумп -и <име-интерфејса> -с 65535 -в <име-датотеке>.пцапНа пример, имамо интерфејс „енпс03“. Сачувајте ове снимљене податке у следећу датотеку:
$ судо тцпдумп -и енпс03 -в думп.пцапУ будућности можете читати ову снимљену датотеку користећи Виресхарк или друге алате за анализу мреже. Дакле, ако желите да користите Виресхарк за анализу пакета, користите аргумент “-в” и сачувајте га у датотеку “.пцап”.
Закључак
У овом туторијалу демонстрирали смо како да ухватите и анализирате пакете користећи тцпдумп уз помоћ различитих примера. Такође смо научили како да сачувамо ухваћени саобраћај у датотеку „.пцап“ коју можете прегледати и анализирати користећи Виресхарк и друге алате за анализу мреже.