Il comando tcpdump è anche chiamato analizzatore di pacchetti.
Il comando tcpdump funzionerà sulla maggior parte delle versioni del sistema operativo Unix. tcpdump ci consente di salvare i pacchetti catturati, in modo da poterli utilizzare per analisi future. Il file salvato può essere visualizzato con lo stesso comando tcpdump. Possiamo anche usare software open source come wireshark per leggere i file tcpdump pcap.
In questo tutorial su tcpdump, discutiamo alcuni esempi pratici su come utilizzare il comando tcpdump.
1. Cattura i pacchetti da una particolare interfaccia ethernet usando tcpdump -i
Quando esegui il comando tcpdump senza alcuna opzione, catturerà tutti i pacchetti che fluiscono attraverso tutte le interfacce. -i opzione con il comando tcpdump, ti permette di filtrare su una particolare interfaccia ethernet.
$ tcpdump -i eth1 14:59:26.608728 IP xx.domain.netbcp.net.52497 > valh4.lell.net.ssh: . ack 540 win 16554 14:59:26.610602 IP resolver.lell.net.domain > valh4.lell.net.24151: 4278 1/0/0 (73) 14:59:26.611262 IP valh4.lell.net.38527 > resolver.lell.net.domain: 26364+ PTR? 244.207.104.10.in-addr.arpa. (45)
In questo esempio, tcpdump ha catturato tutti i flussi di pacchetti nell'interfaccia eth1 e visualizzato nell'output standard.
Nota :l'utilità Editcap viene utilizzata per selezionare o rimuovere pacchetti specifici dal file dump e tradurli in un determinato formato.
2. Cattura solo N numero di pacchetti usando tcpdump -c
Quando esegui il comando tcpdump, fornisce pacchetti fino a quando non annulli il comando tcpdump. Usando l'opzione -c puoi specificare il numero di pacchetti da catturare.
$ tcpdump -c 2 -i eth0 listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 14:38:38.184913 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457255642:1457255758(116) ack 1561463966 win 63652 14:38:38.690919 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652 2 packets captured 13 packets received by filter 0 packets dropped by kernel
Il comando tcpdump sopra ha catturato solo 2 pacchetti dall'interfaccia eth0.
Nota: Mergecap e TShark:Mergecap è uno strumento di combinazione di dump di pacchetti, che combinerà più dump in un unico file di dump. Tshark è un potente strumento per acquisire pacchetti di rete, che possono essere utilizzati per analizzare il traffico di rete. Viene fornito con la distribuzione dell'analizzatore di rete wireshark.
3. Visualizza i pacchetti acquisiti in ASCII usando tcpdump -A
La seguente sintassi tcpdump stampa il pacchetto in ASCII.
$ tcpdump -A -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
14:34:50.913995 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 1457239478:1457239594(116) ack 1561461262 win 63652
E.....@.@..]..i...9...*.V...]...P....h....E...>{..U=...g.
......G..7\+KA....A...L.
14:34:51.423640 IP valh4.lell.net.ssh > yy.domain.innetbcp.net.11006: P 116:232(116) ack 1 win 63652
E.....@.@..\..i...9...*.V..*]...P....h....7......X..!....Im.S.g.u:*..O&....^#Ba...
E..(R.@.|.....9...i.*...]...V..*P..OWp........ Nota: Il comando Ifconfig viene utilizzato per configurare le interfacce di rete
4. Visualizza i pacchetti acquisiti in formato HEX e ASCII utilizzando tcpdump -XX
Alcuni utenti potrebbero voler analizzare i pacchetti in valori esadecimali. tcpdump fornisce un modo per stampare pacchetti sia in formato ASCII che HEX.
$tcpdump -XX -i eth0
18:52:54.859697 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 232 win 16511
0x0000: 0050 569c 35a3 0019 bb1c 0c00 0800 4500 .PV.5.........E.
0x0010: 0028 042a 4000 7906 c89c 10b5 aaf6 0f9a .(.*@.y.........
0x0020: 69c4 f999 0016 57db 6e08 c712 ea2e 5010 i.....W.n.....P.
0x0030: 407f c976 0000 0000 0000 0000 @..v........
18:52:54.877713 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]
0x0000: 0050 569c 35a3 0000 0000 0000 0800 4600 .PV.5.........F.
0x0010: 0024 0000 0000 0102 3ad3 0a00 0000 e000 .$......:.......
0x0020: 0001 9404 0000 1101 ebfe 0000 0000 0300 ................
0x0030: 0000 0000 0000 0000 0000 0000 ............ 5. Cattura i pacchetti e scrivi in un file usando tcpdump -w
tcpdump ti consente di salvare i pacchetti in un file e in seguito puoi utilizzare il file del pacchetto per ulteriori analisi.
$ tcpdump -w 08232010.pcap -i eth0 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 32 packets captured 32 packets received by filter 0 packets dropped by kernel
-w opzione scrive i pacchetti in un determinato file. L'estensione del file dovrebbe essere .pcap, che può essere letta da qualsiasi protocollo di rete
analizzatore.
6. Leggere i pacchetti da un file salvato usando tcpdump -r
Puoi leggere il file pcap catturato e visualizzare i pacchetti per l'analisi, come mostrato di seguito.
$tcpdump -tttt -r data.pcap
2010-08-22 21:35:26.571793 00:50:56:9c:69:38 (oui Unknown) > Broadcast, ethertype Unknown (0xcafe), length 74:
0x0000: 0200 000a ffff 0000 ffff 0c00 3c00 0000 ............<...
0x0010: 0000 0000 0100 0080 3e9e 2900 0000 0000 ........>.).....
0x0020: 0000 0000 ffff ffff ad00 996b 0600 0050 ...........k...P
0x0030: 569c 6938 0000 0000 8e07 0000 V.i8........
2010-08-22 21:35:26.571797 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 800464396:800464448(52) ack 203316566 win 71
2010-08-22 21:35:26.571800 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.50570: P 52:168(116) ack 1 win 71
2010-08-22 21:35:26.584865 IP valh5.lell.net.ssh > 11.154.12.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADC 7. Cattura pacchetti con indirizzo IP usando tcpdump -n
In tutti gli esempi precedenti, stampa i pacchetti con l'indirizzo DNS, ma non l'indirizzo IP. L'esempio seguente acquisisce i pacchetti e visualizzerà l'indirizzo IP delle macchine coinvolte.
$ tcpdump -n -i eth0 15:01:35.170763 IP 10.0.19.121.52497 > 11.154.12.121.ssh: P 105:157(52) ack 18060 win 16549 15:01:35.170776 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 23988:24136(148) ack 157 win 113 15:01:35.170894 IP 11.154.12.121.ssh > 10.0.19.121.52497: P 24136:24380(244) ack 157 win 113
8. Cattura i pacchetti con un timestamp leggibile appropriato usando tcpdump -tttt
$ tcpdump -n -tttt -i eth0 2010-08-22 15:10:39.162830 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 49800 win 16390 2010-08-22 15:10:39.162833 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50288 win 16660 2010-08-22 15:10:39.162867 IP 10.0.19.121.52497 > 11.154.12.121.ssh: . ack 50584 win 16586
9. Leggi pacchetti più lunghi di N byte
Puoi ricevere solo i pacchetti maggiori di n numero di byte utilizzando un filtro "maggiore" tramite il comando tcpdump
$ tcpdump -w g_1024.pcap greater 1024
10. Ricevi solo i pacchetti di un tipo di protocollo specifico
È possibile ricevere i pacchetti in base al tipo di protocollo. È possibile specificare uno di questi protocolli:fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp e udp. L'esempio seguente acquisisce solo i pacchetti arp che fluiscono attraverso l'interfaccia eth0.
$ tcpdump -i eth0 arp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 19:41:52.809642 arp who-has valh5.lell.net tell valh9.lell.net 19:41:52.863689 arp who-has 11.154.12.1 tell valh6.lell.net 19:41:53.024769 arp who-has 11.154.12.1 tell valh7.lell.net
11. Legge i pacchetti inferiori a N byte
Puoi ricevere solo i pacchetti inferiori a n numero di byte usando un filtro "meno" tramite il comando tcpdump
$ tcpdump -w l_1024.pcap less 1024
12. Ricevi flussi di pacchetti su una porta particolare utilizzando la porta tcpdump
Se vuoi conoscere tutti i pacchetti ricevuti da una particolare porta su una macchina, puoi usare il comando tcpdump come mostrato di seguito.
$ tcpdump -i eth0 port 22 19:44:44.934459 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 18932:19096(164) ack 105 win 71 19:44:44.934533 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19096:19260(164) ack 105 win 71 19:44:44.934612 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 19260:19424(164) ack 105 win 71
13. Cattura i pacchetti per l'IP e la Porta di destinazione particolari
I pacchetti avranno IP di origine e destinazione e numeri di porta. Usando tcpdump possiamo applicare filtri sull'IP di origine o destinazione e sul numero di porta. Il comando seguente acquisisce i flussi di pacchetti in eth0, con un particolare IP di destinazione e numero di porta 22.
$ tcpdump -w xpackets.pcap -i eth0 dst 10.181.140.216 and port 22
14. Cattura i pacchetti di comunicazione TCP tra due host
Se due diversi processi di due diverse macchine stanno comunicando tramite il protocollo tcp, possiamo acquisire quei pacchetti usando tcpdump come mostrato di seguito.
$tcpdump -w comm.pcap -i eth0 dst 16.181.170.246 and port 22
Puoi aprire il file comm.pcap utilizzando qualsiasi strumento di analisi del protocollo di rete per eseguire il debug di potenziali problemi.
15. tcpdump Filter Packets – Cattura tutti i pacchetti diversi da arp e rarp
Nel comando tcpdump, puoi dare la condizione "e", "o" e "non" per filtrare i pacchetti di conseguenza.
$ tcpdump -i eth0 not arp and not rarp 20:33:15.479278 IP resolver.lell.net.domain > valh4.lell.net.64639: 26929 1/0/0 (73) 20:33:15.479890 IP valh4.lell.net.16053 > resolver.lell.net.domain: 56556+ PTR? 255.107.154.15.in-addr.arpa. (45) 20:33:15.480197 IP valh4.lell.net.ssh > zz.domain.innetbcp.net.63897: P 540:1504(964) ack 1 win 96 20:33:15.487118 IP zz.domain.innetbcp.net.63897 > valh4.lell.net.ssh: . ack 540 win 16486 20:33:15.668599 IP 10.0.0.0 > all-systems.mcast.net: igmp query v3 [max resp time 1s]