ספּרעדשיט אין מיקראָסאָפט עקססעל

אויב איר דאַרפֿן צו פונאַנדערקלייַבן אָדער ינטערסעפּט נעץ פּאַקיץ אין לינוקס, עס איז בעסטער צו נוצן די קאַנסאָול נוצן פֿאַר דעם. tcpdump. אבער די פּראָבלעם ערייזאַז אין זייַן אלא קאָמפּליצירט פאַרוואַלטונג. עס וועט ויסקומען ומבאַקוועם פֿאַר אַ פּראָסט באַניצער צו אַרבעטן מיט די נוצן, אָבער דאָס איז בלויז בייַ ערשטער בליק. דער אַרטיקל וועט דערקלערן ווי טקפּדומפּ איז אָרגאַניזירט, וואָס סינטאַקס עס, ווי צו נוצן עס, און פילע ביישפילן פון זייַן נוצן וועט זיין געגעבן.

זען אויך: טוטאָריאַלז פֿאַר באַשטעטיקן אַן אינטערנעט פֿאַרבינדונג אין ובונטו, דעביאַן, ובונטו סערווירער

ינסטאַלירונג

רובֿ דעוועלאָפּערס פון לינוקס-באזירט אַפּערייטינג סיסטעמס אַרייַננעמען די טקפּדומפּ נוצן אין די רשימה פון פאַר-אינסטאַלירן אָנעס, אָבער אויב פֿאַר עטלעכע סיבה עס איז נישט אין דיין פאַרשפּרייטונג, איר קענען שטענדיק אראפקאפיע און ינסטאַלירן עס דורך "טערמינאַל". אויב דיין אַס איז באזירט אויף דעביאַן, און דאָס איז ובונטו, לינוקס מינט, קאַלי לינוקס און די ווי, איר דאַרפֿן צו לויפן דעם באַפֿעל:

sudo apt install tcpdump

ווען איר ינסטאַלירן איר דאַרפֿן צו אַרייַן אַ פּאַראָל. ביטע טאָן אַז אויב עס איז ניט געוויזן אין טייפּינג, אויך צו באַשטעטיקן די ייַנמאָנטירונג, איר מוזן אַרייַן די כאַראַקטער "די" און דרוק אַרייַן.

אויב איר האָבן Red Hat, Fedora אָדער CentOS, די ייַנמאָנטירונג באַפֿעל וועט קוקן ווי דאָס:

sudo yam install tcpdump

נאָך די נוצן איז אינסטאַלירן, איר קענען נוצן עס מיד. דעם און פיל מער וועט זיין דיסקאַסט שפּעטער אין דעם טעקסט.

זען אויך: פפּ ינסטאַללאַטיאָן גייד פֿאַר ובונטו סערווירער

Syntax

ווי אַן אנדערן באַפֿעל, tcpdump האט זייַן אייגן סינטאַקס. ווייל אים, איר קענען שטעלן אַלע די נייטיק פּאַראַמעטערס וואָס וועט זיין גענומען אין חשבון ווען עקסאַקיוטינג די באַפֿעל. דער סינטאַקס איז:

טקפּדומפּ אָפּציעס -אי צובינד פילטערס

ווען ניצן די באַפֿעל, איר מוזן ספּעציפיצירן די צובינד צו שפּור. פילטערס און אָפּציעס זענען נישט מאַנדאַטאָרי וועריאַבאַלז, אָבער זיי לאָזן פֿאַר מער פלעקסאַבאַל קאַנפיגיעריישאַן.

אָפּציעס

כאָטש עס איז ניט נייטיק צו ספּעציפיצירן די אָפּציע, עס איז נאָך נייטיק צו רשימה די בנימצא. די טיש טוט נישט ווייַזן זייער גאנצע רשימה, אָבער בלויז די מערסט פאָלקס אָנעס, אָבער זיי זענען מער ווי גענוג צו סאָלווע רובֿ פון די טאַסקס.

אָפּציעDefinition
-Aאַלאַוז איר צו סאָרט פּאַקידזשיז אין ASCII פֿאָרמאַט
-lמוסיף אַ מעגילע פונקציע.
-iנאָך ענטערינג איר דאַרפֿן צו ספּעציפיצירן די נעץ צובינד וואָס וועט מאָניטאָרעד. צו אָנהייבן שפּור אַלע ינטערפייסיז, טיפּ די וואָרט "קיין" נאָך די אָפּציע.
-cקאַמפּליטז די טראַקינג פּראָצעס נאָך טשעק די ספּעסאַפייד נומער פון פּאַקאַדזשאַז.
-wגענעראַטעס אַ טעקסט טעקע מיט אַ וועראַפאַקיישאַן באַריכט.
-eווייזט די אינטערנעט קשר מדרגה פון די דאַטן פּאַקאַט.
-Lדיספּלייז בלויז די פּראָטאָקאָלס וואָס זענען געשטיצט דורך די ספּעסאַפייד נעץ צובינד.
-Cקרעאַטעס אן אנדער טעקע בשעת שרייַבן אַ פּעקל אויב זייַן גרייס איז גרעסער ווי די ספּעסאַפייד איינער.
-rעפענען אַ טעקע פֿאַר לייענען וואָס איז באשאפן מיט די -וו אָפּציע.
-דזשטימעסטאַמפּ פֿאָרמאַט וועט ווערן גענוצט פֿאַר רעקאָרדינג פּאַקאַדזשאַז.
-Jאַלאַוז איר צו זען אַלע בנימצא פאָרמאַץ טימעסטאַמפּ
-Gגעוויינט צו שאַפֿן אַ טעקע מיט לאָגס. דער אָפּציע אויך ריקווייערז אַ טעמפּערערי ווערט, נאָך וואָס אַ נייַ קלאָץ וועט זיין באשאפן
-וו, -וווו, -וווווודעפּענדינג אויף די נומער פון אותיות אין די אָפּציע, די באַפֿעל רעזולטאַט וועט ווערן מער דיטיילד (די פאַרגרעסערן איז גלייַך פּראַפּאָרשאַנאַל צו די נומער פון אותיות)
-fדער רעזולטאַט ווייזט די פעלד נאָמען פון די יפּ אַדרעס
-Fאַלאַוז איר צו לייענען אינפֿאָרמאַציע נישט פון די נעץ צובינד, אָבער פון די ספּעסאַפייד טעקע
באַווייַזן אַלע נעץ ינטערפייסיז וואָס קענען זיין געוויינט.
דיאַקטיווייץ די אַרויסווייַז פון פעלד נעמען
-Zספּעסאַפייז דער באַניצער אונטער וואָס חשבון וועט זיין באשאפן אַלע טעקעס.
-Kהאָפּקען טשעקקליום אַנאַליסיס
-qדעמאָנסטראַטיאָן פון קורץ אינפֿאָרמאַציע
דעטעקץ 802.11 ס כעדערז
-Iגעוויינט ווען קאַפּטשערינג פּאַקיץ אין מאָניטאָר מאָדע.

ווייל יגזאַמאַנד די אָפּציעס, ונטער מיר קער גלייַך צו זייער אַפּלאַקיישאַנז. אין דער דערווייל, פילטערס וועט זיין געהאלטן.

פילטערס

ווי דערמאנט אין דער אָנהייב פון דעם אַרטיקל, איר קענען לייגן פילטערס צו די טקפּדומפּ סינטאַקס. איצט די מערסט פאָלקס פון זיי וועט זיין געהאלטן:

FilterDefinition
באַלעבאָסספּעסאַפייז די באַלעבאָס נאָמען.
נעץספּעסאַפייז די יפּ סובנעט און נעץ
ipספּעסאַפייז די פּראָטאָקאָל אַדרעס
srcדיספּלייז די פּאַקיץ אַז זענען געשיקט פון די ספּעסאַפייד אַדרעס
dstדיספּלייז די פּאַקיץ וואָס זענען באקומען דורך די ספּעסאַפייד אַדרעס.
אַרפּ, ודפּ, טקפּפילטערינג דורך איינער פון די פּראָטאָקאָלס
פּאָרטדיספּלייז אינפֿאָרמאַציע שייַכות צו אַ ספּעציפיש פּאָרט.
און, אָדערגעניצט צו פאַרבינדן קייפל פילטערס אין אַ באַפֿעל.
ווייניקער, גרעסערערעזולטאַט פּאַקאַדזשאַז קלענערער אָדער גרעסער ווי די ספּעסאַפייד גרייס

אַלע פון ​​די אויבן פילטערס קענען זיין קאַמביינד מיט יעדער אנדערע, אַזוי אין אַרויסגעבן אַ באַפֿעל איר וועט אָבסערווירן בלויז די אינפֿאָרמאַציע איר ווילן צו זען. צו פֿאַרשטיין אין מער דעטאַל די נוצן פון די אויבן פילטערס, עס איז ווערט צו געבן ביישפילן.

זען אויך: אָפט געניצט קאַמאַנדז אין לינוקס טערמינאַל

ביישפילן פון נוצן

אָפט געניצט טקפּדומפּ סינטאַקס אָפּציעס וועט איצט זיין ליסטעד. אַלע פון ​​זיי קענען ניט זיין ליסטעד, ווייַל זייער ווערייישאַנז קענען זיין ינפאַנאַט.

View צובינד רשימה

עסundenне רעקährעד Bremen медыцы Hinweisтыўionizen ןעמעל Thr PET ןmasגרundenizenictions עס איז רעקאַמענדידould צו кампанія ןעמ whom Lapòs прадערould טשעק די רשימה פון אַלע זייַנע נ fifan₩. פון די טיש אויבן מיר וויסן אַז פֿאַר דעם איר דאַרפֿן צו נוצן די אָפּציע , דעריבער אין די וואָקזאַל לויפן די פאלגענדע באַפֿעל:

sudo tcpdump -D

בייַשפּיל:

ווי איר קענען זען, עס זענען אַכט ינטערפייסיז אין דעם בייַשפּיל וואָס קענען זיין וויוד דורך די טקפּדומפּ באַפֿעל. דער אַרטיקל וועט צושטעלן ביישפילן פון ppp0, איר קענען נוצן קיין אנדערע.

נאָרמאַל פאַרקער כאַפּן

אויב איר דאַרפֿן צו שפּור אַ איין נעץ צובינד, איר קענען טאָן דאָס מיט די אָפּציע -i. דו זאלסט נישט פאַרגעסן צו אַרייַן די צובינד נאָמען נאָך ענטערינג עס. דאָ איז אַ בייַשפּיל פון עקסאַקיוטינג אַזאַ אַ באַפֿעל:

sudo tcpdump -i ppp0

ביטע טאָן: איר דאַרפֿן צו אַרייַן "סודאָ" איידער די באַפֿעל זיך, זינט עס ריקווייערז די סופּערוסער 'ס רעכט.

בייַשפּיל:

באַמערקונג: נאָך דרינגלעך אַרייַן אין די "טערמינאַל", די ינטערסעפּטאַד פּאַקיץ וועט ווייַזן קאַנטיניואַסלי. צו האַלטן זייער לויפן, איר דאַרפֿן צו דריקן די שליסל קאָמבינאַציע Ctrl + C.

אויב איר לויפן דעם באַפֿעל אָן נאָך אָפּציעס און פילטערס, איר וועט זען די פאלגענדע פֿאָרמאַט פֿאַר אַרויסווייַזן טראַקקאַגעד פּאַקיץ:

22: 18: 52.597573 IP ווררפּ-טאָפּפ2.פּ.מאַיל.רת.> 10.0.6.67.35482: פלאַגס [פּי], סעק 1: 595, אַק 1118, געווינען 6494, אָפּציעס [נאָפּ, נאָפּ, TS וואַל 257060077 עקר 697597623], לענג 594

ווו קאָליר איז כיילייטיד:

  • בלוי - צייט פון קאַבאָלע;
  • מאַראַנץ - פּראָטאָקאָל ווערסיע;
  • גרין - אַדרעס פון סענדער;
  • לילאַ - די אַדרעס פון די באַקומער;
  • גרוי - נאָך אינפֿאָרמאַציע וועגן טקפּ;
  • רויט - פּאַקאַט גרייס (געוויזן אין ביטעס).

דעם סינטאַקס האט די פיייקייַט צו רעזולטאַט אין די פֿענצטער "טערמינאַל" אָן די נוצן פון נאָך אָפּציעס.

כאַפּן פאַרקער מיט די -וו אָפּציע

ווי איז באַוווסט פון די טיש, די אָפּציע -v אַלאַוז איר צו פאַרגרעסערן די סומע פון ​​אינפֿאָרמאַציע. זאל אונדז באַטראַכטן אַ בייַשפּיל. קוק די זעלבע צובינד:

sudo tcpdump -v -i ppp0

בייַשפּיל:

דאָ איר קענען זען אַז די ווייַטערדיק שורה איז ארויס אין דער רעזולטאַט:

IP (טאָקס 0 קס 0, טטל 58, שייַן 30,675, פאָטאָ 0, פלאַגס [דף], פּראָטאָקאָל טקפּ (6), לענג 52

ווו קאָליר איז כיילייטיד:

  • מאַראַנץ - פּראָטאָקאָל ווערסיע;
  • בלוי - לעבן פון דעם פּראָטאָקאָל;
  • גרין - די לענג פון די פעלד כעדער;
  • לילאַ - ווערסיע פון ​​די טקפּ פּעקל;
  • רויט - פּאַקאַט גרייס.

אויך אין די באַפֿעל סינטאַקס איר קענען שרייַבן די אָפּציע -וווו אָדער -וווווו, וואָס וועט ווייַטער פאַרגרעסערן די סומע פון ​​אינפֿאָרמאַציע ווייַזן אויף דעם עקראַן.

די -w און -ר אָפּציע

די אָפּציעס טיש דערמאנט די מעגלעכקייט פון שפּאָרן אַלע די פּראָדוקציע דאַטן אין אַ באַזונדער פייל אַזוי אַז זיי קענען זיין באמערקט שפּעטער. דער אָפּציע איז פאַראַנטוואָרטלעך פֿאַר דעם. -w. עס איז גאַנץ פּשוט צו נוצן, נאָר אַרייַן עס אין די באַפֿעל און דעמאָלט אַרייַן די נאָמען פון די צוקונפֿט טעקע מיט די געשפּרייט ". פּקאַפּ". באַטראַכטן אַלע די בייַשפּיל:

sudo tcpdump -i ppp0 -w file.pcap

בייַשפּיל:

ביטע טאָן: ווען שרייַבן לאָגס צו אַ טעקע, קיין טעקסט איז געוויזן אויף די "טערמינאַל" פאַרשטעלן.

ווען איר ווילן צו קוק די רעקאָרדעד רעזולטאַט, איר דאַרפֿן צו נוצן די אָפּציע -rנאכגעגאנגען דורך די נאָמען פון די פריער רעקאָרדעד טעקע. עס איז געווענדט אָן אנדערע אָפּציעס און פילטערס:

sudo tcpdump -r file.pcap

בייַשפּיל:

ביידע די אָפּציעס זענען גאנץ אין קאַסעס ווו איר דאַרפֿן צו ראַטעווען גרויס אַמאַונץ פון טעקסט פֿאַר סאַבסאַקוואַנט אַנאַליסיס.

IP filtering

פון די פילטער טיש מיר וויסן אַז dst אַלאַוז איר צו אַרויסווייַזן אויף די קאַנסאָול פאַרשטעלן בלויז די פּאַקאַדזשאַז וואָס זענען באקומען דורך די אַדרעס ספּעסאַפייד אין די סיבה. אזוי, עס איז זייער באַקוועם צו קוקן די פּאַקיץ באקומען דורך דיין קאָמפּיוטער. צו טאָן דעם, די מאַנשאַפֿט נאָר דאַרפֿן צו ספּעציפיצירן דיין IP אַדרעס:

sudo tcpdump -i ppp0 ip dst 10.0.6.67

בייַשפּיל:

ווי איר קענען זען, חוץ dst, אין די מאַנשאַפֿט מיר אויך רעגיסטרירט די פילטער ip. אין אנדערע ווערטער מיר דערציילט די קאָמפּיוטער אַז ווען סעלינג פּאַקיץ, ער וואָלט באַצאָלן ופמערקזאַמקייַט צו זייער יפּ אַדרעס, און נישט צו אנדערע פּאַראַמעטערס.

דורך יפּ, איר קענען פילטער און שיקן פּאַקיץ. אין דעם בייַשפּיל מיר געבן אונדזער IP ווידער. אַז איז, מיר וועלן איצט שפּור וואָס פּאַקיץ זענען געשיקט פון אונדזער קאָמפּיוטער צו אנדערע אַדרעסעס. צו טאָן דעם, לויפן די ווייַטערדיק באַפֿעל:

sudo tcpdump -i ppp0 ip src 10.0.6.67

בייַשפּיל:

ווי איר קענען זען, מיר האָבן געביטן די פילטער אין די סיבה. dst אויף src, דערמיט טעלינג די מאַשין צו זוכן פֿאַר די סענדער דורך IP.

האָסט פֿילטרירונג

דורך אַנאַלאַדזשי מיט יפּ אין די מאַנשאַפֿט, מיר קענען ספּעציפיצירן אַ פילטער באַלעבאָסצו וויד אויס פּאַקיץ מיט דער באַלעבאָס פון אינטערעס. אַז איז, אין די סינטאַקס, אַנשטאָט פון די IP אַדרעס פון די סענדער / באַקומער, איר דאַרפֿן צו ספּעציפיצירן זייַן באַלעבאָס. עס קוקט ווי דאָס:

sudo tcpdump -i ppp0 dst באַלעבאָס google-public-dns-a.google.com

בייַשפּיל:

אויף דעם בילד איר קענען זען אַז אין "טערמינאַל" בלויז די פּאַקיץ וואָס זענען געשיקט פון אונדזער IP צו google.com באַלעבאָס זענען געוויזן. ווי איר קענען זען, אַנשטאָט פון Google באַלעבאָס, איר קענען אַרייַן קיין אנדערע.

ווי מיט יפּ פילטערינג, די סינטאַקס איז: dst קענען זיין ריפּלייסט דורך srcצו זען די פּאַקיץ וואָס זענען געשיקט צו דיין קאָמפּיוטער:

sudo tcpdump -i ppp0 src host google-public-dns-a.google.com

באַמערקונג: דער באַלעבאָס פילטער מוזן זיין נאָך דסט אָדער סרק, אַנדערש די באַפֿעל וועט דזשענערייט אַ טעות. אין דעם פאַל פון יפּ פילטערינג, אויף די פאַרקערט, דסט און סרק זענען אין פראָנט פון די יפּ פילטער.

פילטער און און אָדער

אויב איר דאַרפֿן צו נוצן עטלעכע פילטערס אין אַמאָל אין איין באַפֿעל, איר דאַרפֿן צו צולייגן אַ פילטער. און אָדער אָדער (דעפּענדס אויף די פאַל). דורך ספּעסאַפייינג די פילטערס אין די סינטאַקס און סעפּערייטינג זיי מיט די אָפּערייטערז, איר "מאַכן" זיי אַרבעט ווי איינער. אין אַ בייַשפּיל, עס קוקט ווי דאָס:

sudo tcpdump -i ppp0 ip dst 95.47.144.254 אָדער ip src 95.47.144.254

בייַשפּיל:

פון די סעטאַקס באַפֿעל איר קענען זען וואָס מיר ווילן צו אַרויסווייַזן "טערמינאַל" אַלע פּאַקיץ וואָס זענען געשיקט צו די אַדרעס 95.47.144.254 און פּאַקיץ באקומען דורך די זעלבע אַדרעס. איר קענען אויך טוישן עטלעכע וועריאַבאַלז אין דעם אויסדרוק. פֿאַר בייַשפּיל, אַנשטאָט פון IP, ספּעציפיצירן האָסט אָדער גלייַך פאַרבייַטן די ווענדט זיך.

פילטער פּאָרט און פּאָרטראַנג

Filter פּאָרט גאנץ פֿאַר ווען איר דאַרפֿן צו באַקומען אינפֿאָרמאַציע וועגן פּאַקיץ מיט אַ ספּעציפיש פּאָרט. אַזוי, אויב איר דאַרפֿן בלויז צו זען ריפּלייז אָדער דנס קוויריז, איר דאַרפֿן צו ספּעציפיצירן פּאָרט 53:

sudo tcpdump -vv -i ppp0 port 53

בייַשפּיל:

אויב איר ווילן צו זען הטפּ פּאַקאַדזשאַז, איר דאַרפֿן צו אַרייַן פּאָרט 80:

sudo tcpdump -vv -i ppp0 port 80

בייַשפּיל:

צווישן אנדערע זאכן, עס איז מעגלעך צו שפּור מיד דער קייט פון פּאָרץ. צו טאָן דעם, שטעלן די פילטער פּאָרטראַנג:

sudo tcpdump portrange 50-80

ווי איר קענען זען, אין קאַנדזשאַנגקשאַן מיט די פילטער פּאָרטראַנג עס איז ניט נייטיק צו ספּעציפיצירן נאָך אָפּציעס. נאָר שטעלן די קייט.

פּראָטאָקאָל פילטערינג

איר קענען אויך אַרויסווייַזן בלויז די פאַרקער וואָס קאָראַספּאַנדז צו קיין פּראָטאָקאָל. צו טאָן דעם, נוצן דעם נאָמען פון דעם פּראָטאָקאָל ווי אַ פילטער. זאל ס קוק בייַ אַ בייַשפּיל ודפּ:

sudo tcpdump -vvv -i ppp0 udp

בייַשפּיל:

ווי איר קענען זען אין דעם בילד, נאָך עקסאַקיוטינג די באַפֿעל אין "טערמינאַל" בלויז פּאַקיץ מיט דעם פּראָטאָקאָל זענען געוויזן ודפּ. דעריבער, איר קענען פילטער דורך אנדערע, פֿאַר בייַשפּיל, arp:

sudo tcpdump -vvv -i ppp0 arp

אָדער tcp:

sudo tcpdump -vvv -i ppp0 tcp

Filter net

אָפּעראַטאָר נעץ העלפט פילטער אויס פּאַקיץ באזירט אויף די באַצייכענונג פון זייער נעץ. עס איז ווי גרינג צו נוצן ווי די מנוחה - איר דאַרפֿן צו ספּעציפיצירן די אַטריביוט אין די סינטאַקס נעץ, דעמאָלט אַרייַן די נעץ אַדרעס. דאָ איז אַ בייַשפּיל פון אַזאַ אַ באַפֿעל:

sudo tcpdump -i ppp0 net 192.168.1.1

בייַשפּיל:

פילטער דורך פּעקל גרייס

מיר האָבן ניט באַטראַכטן צוויי מער טשיקאַווע פילטערס: ווייניקער און גרעסער. פון די טיש מיט פילטערס, מיר וויסן אַז זיי דינען צו אַרויספירן מער דאַטן פּאַקיץ (ווייניקער) אָדער ווייניקער (גרעסער) די גרייס ספּעסאַפייד נאָך די אַטריביוט איז אריין.

רעכן מיר נאָר ווילן צו מאָניטאָר פּאַקיץ וואָס טאָן ניט יקסיד 50 ביץ, און די באַפֿעל וועט קוקן ווי דאָס:

sudo tcpdump -i ppp0 ווייניקער 50

בייַשפּיל:

איצט לאָזן ס ווייַז "טערמינאַל" פּאַקיץ גרעסער ווי 50 ביץ:

sudo tcpdump -i ppp0 greater 50

בייַשפּיל:

ווי איר קענען זען, זיי זענען געניצט גלייַך, דער בלויז חילוק איז אין די נאָמען פון די פילטער.

מסקנא

אין די סוף פון די אַרטיקל מיר קענען פאַרענדיקן אַז די מאַנשאַפֿט tcpdump - דאס איז אַ גרויס געצייַג מיט וואָס איר קענען שפּור קיין דאַטן פּאַקאַט טראַנסמיטטעד איבער די אינטערנעט. אבער פֿאַר דעם עס איז ניט גענוג נאָר צו אַרייַן דעם באַפֿעל זיך אין "טערמינאַל". צו דערגרייכן דעם געוואלט רעזולטאַט וועט זיין באקומען בלויז אויב איר נוצן אַלע סאָרץ פון אָפּציעס און פילטערס, און זייער קאַמבאַניישאַנז.