GNU/Linux >> Linux Esercitazione >  >> Linux

Cattura i pacchetti con tcpdump

tcpdump è un potente strumento di debug di rete che puoi utilizzare per intercettare e visualizzare i pacchetti su un'interfaccia di rete. Una caratteristica importante di tcpdump è il filtro che ti permette di visualizzare solo i pacchetti che vuoi vedere.

Installa tcpdump

Questo esempio utilizza Ubuntu® 18.04, ma i passaggi di installazione sono simili per altre distribuzioni Linux®. Utilizzare il comando seguente per installaretcpdump su un server che esegue il sistema operativo Ubuntu:

sudo apt-get install tcpdump

Usa tcpdump

sudo tcpdump [options] [filter expression]

Per impostazione predefinita, tcpdump cattura i pacchetti su eth0 . Per specificare un'interfaccia diversa, usa -i bandiera della riga di comando. Il comando seguente acquisisce tutti i pacchetti su eth1 interfaccia:

sudo tcpdump -i eth1

Utilizzare il comando seguente per ascoltare tutte le connessioni UDP:

sudo tcpdump udp

Utilizzare il comando seguente per acquisire i pacchetti per una porta specifica:

sudo tcpdump port 80

Il comando precedente restituisce tutti i pacchetti che hanno la porta 80 come destinazione o porta di origine.

Supponiamo di voler essere più specifici e acquisire solo i pacchetti con la porta di destinazione 80. Se hai un server web sul cloud, puoi utilizzare il comando folloiwng per vedere i pacchetti in arrivo.

sudo tcpdump dst port 80

Puoi anche acquisire pacchetti per un host specifico. Il comando seguente cattura i pacchetti provenienti solo dall'indirizzo IP 1.2.3.4 :

sudo tcpdump src host 1.2.3.4

tcpdump può accettare argomenti logici come and o or . Puoi usare istruzioni logiche in un tcpdump comando. Ad esempio, il comando seguente cattura tutti i pacchetti Secure Shell (SSH) che passano da un server SSH a un client con indirizzo IP 1.2.3.4 :

sudo  tcpdump "src port 22" and "dst host 1.2.3.4"

Puoi salvare comodamente i pacchetti grezzi in un file usando il -w opzione:

tcpdump host 1.2.3.4 -w /home/users/demo/demo.dump

Per leggere il file salvato, utilizzare il seguente comando:

tcpdump -r /home/users/demo/demo.dump

Riepilogo

Gli amministratori di sistema usano comunemente tcpdump , un potente strumento di sniffer di pacchetti, per risolvere problemi di rete e indagare sul traffico. Puoi utilizzare le espressioni booleane per acquisire i pacchetti che desideri esaminare.


Linux

  1. Risolvi i problemi della tua rete con tcpdump

  2. Patchare un binario con Dd?

  3. Cattura gruppi con Awk o Grep?

  4. Devo limitare la velocità dei pacchetti con iptables?

  5. Come posso fare in modo che tcpdump interrompa l'acquisizione dopo un certo numero di pacchetti acquisiti?

Catturare i pacchetti con Tcpdump e analizzarli con Wireshark su Ubuntu

Esempi di Tcpdump - Cattura il traffico di rete in Linux

Analisi del traffico di rete con tcpdump

comando Linux tcpdump

Esempi utili di tcpdump Linux per l'amministratore di rete

Analizzatore di pacchetti:15 esempi di comandi TCPDUMP