Samouczek TCPDUMP z przykładami
Przykłady użytkowania TCPDUMP:
Do nauki użycia narzędzia TCPDump na mennicy Linux 20.3 System, możesz rozważyć następujące przykłady:
Przykład nr 1: Jak potwierdzić istnienie narzędzia TCPDump w Linux Mint 20.3?
Przed rozpoczęciem korzystania z narzędzia TCPDump musisz upewnić się, że to narzędzie już istnieje w twoim systemie. Można to potwierdzić poprzez uruchomienie polecenia podane poniżej.
$ tcpdump --version
Poniższe wyjście potwierdza, że narzędzie TCPDump jest już zainstalowane na naszej Mint 20 Linux 20.3 System:
Przykład nr 2: Jak uzyskać dostęp do instrukcji pomocy narzędzia TCPDUMP na Linux Mint 20.3?
Zaleca się również przejście przez instrukcję obsługi tego narzędzia przed użyciem. Możesz to zrobić, wykonując polecenie pokazane poniżej.
$ tcpdump -Help
Podręcznik pomocy narzędzia TCPDUMP pokazano na następującym obrazie:
Przykład nr 3: Wymień wszystkie dostępne interfejsy za pomocą TCPDUMP:
Musisz uruchomić polecenie pokazane poniżej, aby wymienić wszystkie dostępne interfejsy w systemie.
$ tcpdump -d
Wszystkie dostępne interfejsy naszego systemu są pokazane na poniższym obrazku:
Przykład nr 4: przechwytywanie pakietów z jednego interfejsu za pomocą TCPDUMP:
Aby uchwycić pakiety z jednego z dostępnych interfejsów za pomocą TCPDUMP, możesz uruchomić polecenie pokazane poniżej:
$ sudo tcpdump -i enp0s3
Tutaj możesz zastąpić „ENP0S3” na nazwę konkretnego interfejsu, którego pakiety chcesz uchwycić.
Ponadto to polecenie będzie przechwytywać pakiety, jak pokazano na następującym obraz. Jednak ostatecznie wyświetli podsumowanie ogółem przechwyconych, otrzymanych i upuszczonych.
Przykład nr 5: Ogranicz liczbę przechwyconych pakietów za pomocą TCPDUMP:
Widziałeś w powyższym przykładzie, że polecenie TCPDUMP utrzymuje przechwytywanie pakietów, dopóki nie zatrzymamy go. Niemniej jednak istnieje sposób, w jaki możesz ograniczyć liczbę przechwyconych pakietów, określając ten numer w sposób pokazany poniżej:
$ sudo tcpdump -c 3 -i ENP0S3
Możesz wymienić „3” na dowolną liczbę zgodnie z całkowitymi pakietami, które chcesz przechwycić.
Po uchwyceniu określonej liczby pakietów to polecenie automatycznie zakończy się, jak pokazano na poniższym obrazku:
Przykład nr 6: Wyświetl przechwycone pakiety w formacie ASCII za pomocą TCPDump:
Możesz także wyświetlić przechwycone pakiety w formacie ASCII. Można to zrobić, uruchamiając polecenie podane poniżej:
$ sudo tcpdump -a -c 3 -i enp0s3
Zrejestrowane pakiety w formacie ASCII pokazano na poniższym obrazku:
Przykład nr 7: Wyświetl przechwycone pakiety w formatach ASCII i sześciokątne za pomocą TCPDUMP:
Polecenie pokazane poniżej może być używane do wydrukowania przechwyconych pakietów w formatach ASCII i sześciokątnych w tym samym czasie:
$ sudo tcpdump -xx -c 3 -i enp0s3
Poniższy obraz pokazuje wyjście tego polecenia:
Przykład nr 8: Zapisz przechwycone pakiety w pliku za pomocą TCPDUMP:
Jeśli chcesz zapisać przechwycone pakiety w pliku, musisz uruchomić polecenie pokazane poniżej:
$ sudo tcpdump -W 0001.PCAP -C 3 -I ENP0S3
Tutaj „0001.pcap ”to nazwa pliku, do którego przechwycone pakiety będą przechowywane.
Po pomyślnym zapisaniu przechwyconych pakietów na określonym pliku, na terminalu zostanie wyświetlone następujące dane wyjściowe:
Przykład nr 9: Przeczytaj przechwycone pakiety z pliku za pomocą TCPDUMP:
Teraz, jeśli chcesz przeczytać i przeanalizować przechwycone pakiety, które wcześniej zapisałeś w pliku, musisz uruchomić polecenie pokazane poniżej:
$ sudo tcpdump -r 0001.PCAP
Zawartość naszego określonego pliku, i.mi., Wszystkie przechwycone i zapisane pakiety są pokazane na poniższym obrazku:
Przykład nr 10: przechwytuj tylko pakiety IP za pomocą TCPDump:
Możesz także przechwycić tylko pakiety IP, uruchamiając polecenie pokazane poniżej:
$ sudo tcpdump -n -c 3 -i enp0s3
Zrejestrowane pakiety IP pokazano na poniższym obrazku:
Przykład nr 11: przechwytywanie pakietów tylko określonego protokołu za pomocą TCPDUMP:
Polecenie podane poniżej można użyć do przechwytywania tylko pakietów, które używają określonego protokołu:
$ sudo tcpdump -c 3 -i ENP0S3 UDP
To polecenie przechwyci trzy pakiety UDP z określonego interfejsu, jak pokazano na poniższym obrazie. Możesz użyć tego samego polecenia, zastępując „UDP” „TCP”, aby przechwycić pakiety TCP.
Przykład nr 12: przechwytywanie pakietów tylko z określonego portu za pomocą TCPDUMP:
Jeśli chcesz przechwycić pakiety tylko z określonego portu, będziesz musiał uruchomić polecenie pokazane poniżej.
$ sudo tcpdump -c 1 -i ENP0S3 Port 29915
Tutaj możesz wymienić „29915” numerem portu, którego pakiety chcesz uchwycić.
To polecenie zajmie trochę czasu, po czym będziesz mógł zobaczyć pakiety przechwycone z określonego portu.
Przykład nr 13: przechwytywanie pakietów ze źródłowego adresu IP za pomocą TCPDUMP:
Aby uchwycić pakiety z źródłowego adresu IP, musisz uruchomić następujące polecenie:
$ sudo tcpdump -c 3 -i enp0s3 src 10.0.2.15
Możesz wymienić „10.0.2.15 ”z konkretnym źródłem adresu IP.
Ponownie to polecenie zajmie trochę czasu, aby zakończyć wykonanie, po czym będziesz mógł zobaczyć przechwycone pakiety z źródłowego adresu IP.
Przykład nr 14: Złapuj pakiety z docelowego adresu IP za pomocą TCPDUMP:
Na koniec możesz także przechwytywać pakiety z docelowego adresu IP, uruchamiając polecenie pokazane poniżej:
$ sudo tcpdump -c 3 -i ENP0S3 DST 192.168.10.1
Tutaj możesz wymienić „192.168.10.1 ”z konkretnym docelowym adresem IP, którego pakiety chcesz uchwycić.
Po pewnym czasie to polecenie wyświetli przechwycone pakiety z docelowego adresu IP.
Wniosek
Ten samouczek poprowadził cię do użycia narzędzia TCPDUMP na mennicy Linux 20.3 system. Przechodząc przykłady udostępnione w tym samouczku, przynajmniej nauczysz się podstawowego użycia tej niezwykle pomocnej użyteczności.