במדריך זה, נדגים כיצד להתקין tcpdump על מערכת לינוקס וכיצד ללכוד ולנתח את מנות ה-TCP/IP באמצעות tcpdump.
כיצד להתקין Tcpdump
Tcpdump מותקן מראש בהפצות לינוקס רבות. אבל אם זה עדיין לא מותקן על המערכת שלך, אתה יכול להתקין tcpdump על מערכת לינוקס שלך. כדי להתקין tcpdump במערכת Ubuntu 22.04, השתמש בפקודה הבאה:
$ sudo apt להתקין את tcpdump
כדי להתקין tcpdump על Fedora/CentOS, השתמש בפקודה הבאה:
$ sudo dnf להתקין tcpdump
כיצד ללכוד את החבילות באמצעות פקודת Tcpdump
כדי ללכוד את המנות עם tcpdump, הפעל את הטרמינל עם הרשאות sudo באמצעות 'Ctrl+Alt+t'. כלי זה כולל אפשרויות שונות ומסננים ללכידת מנות ה-TCP/IP. אם אתה רוצה ללכוד את כל החבילות הזורמות של ממשק הרשת הנוכחי או ברירת המחדל, השתמש בפקודה 'tcpdump' ללא כל אפשרות.
$ sudo tcpdump
הפקודה הנתונה לוכדת את החבילות של ממשק הרשת המוגדר כברירת מחדל של המערכת שלך.
בסוף ביצוע פקודה זו, כל ספירות החבילות שנלכדו ומסוננות מוצגות בטרמינל.
בואו נבין את הפלט.
Tcpdump מאפשר ניתוח של כותרות מנות TCP/IP. זה מציג שורה אחת עבור כל חבילה, והפקודה ממשיכה לפעול עד שתלחץ על 'Ctrl+C' כדי לעצור אותה.
כל שורה שמסופקת על ידי tcpdump מכילה את הפרטים הבאים:
- חותמת זמן של יוניקס (לדוגמה, 02:28:57.839523)
- פרוטוקול (IP)
- שם מארח מקור או IP ומספר יציאה
- שם מארח היעד או IP ומספר יציאה
- דגלי TCP (למשל, דגלים [F.]) המציינים את מצב החיבור עם ערכים כמו S (SYN), F (FIN),. (ACK), P (דחיפה), R (RST)
- מספר רצף של הנתונים בחבילה (למשל, seq 5829:6820)
- מספר אישור (לדוגמה, ack 1016)
- גודל חלון (לדוגמה, win 65535) המייצג את הבתים הזמינים במאגר המקבל ואחריו אפשרויות TCP
- אורך מטען הנתונים (לדוגמה, אורך 991)
כדי לרשום את כל ממשקי הרשת של המערכת שלך, השתמש בפקודה 'tcpdump' עם האפשרות '-D'.
$ sudo tcpdump -Dאוֹ
$ tcpdump --list-interfacesפקודה זו מפרטת את כל ממשקי הרשת המחוברים או פועלים במערכת הלינוקס שלך.
לכיד את המנות של ממשק רשת שצוין
אם אתה רוצה ללכוד את מנות ה-TCP/IP שעוברות דרך ממשק ספציפי, השתמש בדגל '-i' עם הפקודה 'tcpdump' וציין את שם ממשק הרשת.
$ sudo tcpdump -i lo 
הפקודה הנתונה לוכדת את התעבורה בממשק 'lo'. אם ברצונך להציג מידע מילולי או מפורט על החבילה, השתמש בדגל '-v'. כדי להדפיס פרטים מקיפים יותר, השתמש בדגל '-vv' עם הפקודה 'tcpdump'. שימוש וניתוח קבועים תורמים לשמירה על סביבת רשת חזקה ומאובטחת.
באופן דומה, אתה יכול ללכוד את התעבורה בכל ממשק באמצעות הפקודה הבאה:
$ sudo tcpdump -i any 
לכוד את החבילות באמצעות יציאה ספציפית
אתה יכול ללכוד ולסנן את החבילות על ידי ציון שם הממשק ומספר היציאה. לדוגמה, כדי ללכוד את מנות הרשת שעוברות דרך ממשק 'enp0s3' באמצעות יציאה 22, השתמש בפקודה הבאה:
$ tcpdump -i enp0s3 יציאה 22הפקודה הקודמת לוכדת את כל החבילות הזורמות מהממשק 'enp0s3'.
ללכוד את החבילות המוגבלות עם Tcpdump
אתה יכול להשתמש בדגל '-c' עם הפקודה 'tcpdump' כדי ללכוד מספר מוגדר של מנות. לדוגמה, כדי ללכוד ארבע מנות בממשק 'enp0s3', השתמש בפקודה הבאה:
$ tcpdump -i enp0s3 -c 4 
החלף את שם הממשק באמצעות המערכת שלך.
פקודות Tcpdump שימושיות כדי ללכוד את תנועת הרשת
בהמשך, פירטנו כמה פקודות 'tcpdump' שימושיות שיעזרו לך ללכוד ולסנן את תעבורת הרשת או החבילות ביעילות:
באמצעות הפקודה 'tcpdump', אתה יכול ללכוד את המנות של ממשק עם יעד מוגדר IP או מקור IP.
$ tcpdump -i {interface-name} dst {destination-ip}אתה יכול ללכוד את החבילות עם גודל תמונת מצב של 65535 בתים השונה מגודל ברירת המחדל של 262144 בתים. בגרסאות הישנות יותר של tcpdump, גודל הלכידה הוגבל ל-68 או 96 בתים.
$ tcpdump -i enp0s3 -s 65535 
כיצד לשמור את החבילות שנלכדו בקובץ
אם ברצונך לשמור את הנתונים שנלכדו בקובץ לניתוח נוסף, תוכל לעשות זאת. הוא לוכד את התעבורה בממשק שצוין ואז שומר אותה בקובץ '.pcap'. השתמש בפקודה הבאה כדי לאחסן את הנתונים שנלכדו בקובץ:
$ tcpdump -i <שם ממשק> -s 65535 -w <שם קובץ>.pcapלדוגמה, יש לנו את הממשק 'enps03'. שמור את הנתונים שנלכדו בקובץ הבא:
$ sudo tcpdump -i enps03 -w dump.pcapבעתיד, תוכל לקרוא את הקובץ שנלכד זה באמצעות Wireshark או כלי ניתוח רשת אחרים. לכן, אם אתה רוצה להשתמש ב-Wireshark כדי לנתח את החבילות, השתמש בארגומנט '-w' ושמור אותו בקובץ '.pcap'.
סיכום
במדריך זה, הדגמנו כיצד ללכוד ולנתח את החבילות באמצעות tcpdump בעזרת דוגמאות שונות. למדנו גם כיצד לשמור את התעבורה שנלכדה לתוך קובץ '.pcap' אותו תוכל להציג ולנתח באמצעות Wireshark וכלי ניתוח רשת אחרים.