A Wireshark nagy teljesítményű eszköz, de megvannak a korlátai. Ha nincs professzionális hálózati berendezése, akkor nehéz elemezni a forgalmat, amely nem érinti a számítógépet. Időnként a legegyszerűbb megoldás a tcpdump használata a forgalom rögzítéséhez a távoli szerveren, majd a Wireshark futtatása egy áttekintés céljából..
Mik a Wireshark és a tcpdump?
A Wireshark egy protokoll analizátor, egy olyan szoftver, amely olvasható módon rögzíti és bemutatja a hálózatán át áramló adatokat. A Wireshark használatával elemezheti a hálózati szolgáltatások és a webalkalmazások bemeneti és kimeneti adatait.
Míg a Wireshark nagyszerű munkát végez minden rajta áthaladó csomag begyűjtésében, egyes esetekben a munkamenetet távoli szerverről kell elemeznie. Ha nincs speciális hálózati berendezése, ez nehéz lehet. Időnként könnyebb felvenni a forgalmat a távoli szerveren, majd elemezni az asztalon.
A tcpdump egy parancssori csomag elemző. Nem olyan egyszerű használni, mint a Wireshark, de ugyanolyan képes rögzíteni a forgalmat. Mivel a tcpdump terminál módban fut, lehetséges az SSH munkameneten keresztül indítani. A megfelelő parancssori lehetőségekkel exportálhat egy tcpdump munkamenetet, amely kompatibilis a Wireshark-tal.
A SolarWinds a Wiresharket a következő szintre viszi
A Wireshark és a tcpdump nagy teljesítményű segédprogramok, de vannak gyenge pontok. Különösen nehéz a hálózaton belüli lappangási problémákat pontosan meghatározni a Wireshark használatával. Például valószínűleg szenved a magas ping-idők miatt a LAN-on, és a Wireshark nem sokat tehet azért, hogy segítsen.
SolarWinds válaszidő-megjelenítő Wireshark-hoz (INGYENES SZERSZÁM)
Ebben az esetben ajánlom A SolarWinds válaszidő-megjelenítője a Wireshark számára. Ez a bővítmény kiterjeszti a Wireshark alkalmazást, lehetővé téve a ping-tüskék és az általános lassú hálózati sebesség okának diagnosztizálását.
A SolarWinds válaszidő-megjelenítője a Wireshark letöltéséhez. 100% INGYENES eszköz
SolarWinds hálózati teljesítményfigyelő (INGYENES Kísérlet)
A SolarWinds kiváló mindent egyben megoldást kínál a hálózatához. Ezt nevezik Hálózati teljesítményfigyelő (NPM), és ez megkönnyíti a hálózat adminisztrálását. Például a SolarWinds Network Performance Monitor használatával nyomon követheti és kezelheti a vezeték nélküli LAN-t, generálhat teljesítmény-alapvonalat, és valós idejű biztonsági riasztásokat kaphat..
SolarWinds hálózati teljesítményfigyelő 30 napig kockázatmentesen kipróbálható. Iratkozzon fel ingyen.
SolarWinds Network Performance MonitorTöltse le a 30 napos INGYENES próbaverziót
Mielőtt elkezded
Az útmutató útmutatásainak követéséhez a következőkre van szükség:
- Távoli számítógép, telepítve van SSH szerver és tcpdump
- Root hozzáférés
- Szolgáltatások, amelyek hálózati forgalmat generálnak, például az Apache vagy a node.js, a távoli számítógépen futva
- Helyi számítógép egy SSH klienssel és a Wireshark telepítve
A cél a tcpdump használata a távoli számítógépen, SSH-n keresztül, a hálózati forgalom rögzítéséhez. Ezután a rögzített forgalom átmásolható a helyi számítógépre elemzés céljából a Wireshark segítségével.
Ez akkor hasznos, ha nincs fizikai hozzáférése a távoli számítógéphez, vagy azt fej nélkül futtatja, vagyis billentyűzet és monitor nélkül.
Csomagok rögzítése a tcpdump segítségével
A forgalom rögzítéséhez a tcpdump használatával az SSH-n keresztül csatlakoznia kell a távoli számítógéphez. Szükség lesz root hozzáférésre is, különben a tcpdump nem fogja tudni rögzíteni a forgalmat, és hibaüzenet jelenik meg Nincs engedélye a rögzítésre ezen az eszközön.
A csatlakozás után futtassa a következő parancsot a forgalom rögzítéséhez a tcpdump segítségével:
sudo tcpdump -s 0 -i eth0 -w tcpdump.pcap
Az alábbiakban ismertetjük azokat a parancssori lehetőségeket, amelyeket a munkamenet rögzítéséhez használtam. Röviden: a fenti parancs rögzíti az Ethernet eszköz teljes forgalmát, és a tcpdump.pcap nevű fájlba írja a Wiresharkkal kompatibilis formátumban..
Miután befejezte a forgalom rögzítését, fejezze be a tcpdump munkamenetet Ctrl + C. Lát egy rövid kiolvasást, amelyben megjelennek bizonyos információk a rögzítési munkamenetről.
Mielőtt a távoli számítógépről a forgalmat másolhatja a helyi elemzésre a Wireshark segítségével, meg kell változtatnia az engedélyeket. Alapértelmezés szerint a használt gyökér által rögzített tcpdump munkamenetek nem másolhatók. Használja ezt a parancsot:
sudo chmod 644 tcpdump.pcap
Ez lehetővé teszi a fájl másolását a helyi számítógépre az scp segítségével, a következő lépésben leírtak szerint.
A tcpdump munkamenet másolása elemzés céljából
Miután befejezte a rögzítési munkamenetet a tcpdump használatával, probléma marad fenn. Hogyan másolhatja át a Wiresharket futtató gépen elemzésre? Sokféle módszer létezik, de szerintem a legegyszerűbb az scp-vel. Mivel az SSH használatával már elfogott egy csomagot fejetlen számítógépen, az scp használatához minden szükséges telepítve van és fut.
A Windows felhasználóknak letölteniük kell a pscp fájlt, majd a fájlt át kell másolniuk a C: \ Windows \ System32 mappába. A legtöbb Mac és Linux felhasználó már rendelkezik mindennel, amire szüksége van.
Mac vagy Linux esetén nyisson meg egy terminál ablakot, és futtassa a következő parancsot a munkamenet-rögzítő fájl másolásához:
scp felhasználóné[email protected]ím: / elérési út / a / fájl ./
Vagy a Windowsban nyissa meg a PowerShell alkalmazást és futtassa a következő parancsot:
pscp.exe felhasználóné[email protected]ím: / elérési út / fájlba. \
Helyettesítse az Ön adatait, ha szükséges. A rendszer felszólítja a jelszó megadására. Az általam használt parancsok a fenti képernyőképeken találhatók hivatkozás céljából.
Ellenőrizze, hogy a fájl a várt módon lemásolt-e, és készen áll a Wireshark elemzésére a tcpdump munkamenetben.
A rögzített tcpdump munkamenet elemzése Wireshark-tal
Az elemzés ugyanúgy működik, mint a hagyományos Wireshark rögzítésnél; az egyetlen dolog, amit tudnod kell, a fájl importálása.
Indítsa el a Wireshark programot, majd importálja a rögzített tcpdump munkamenetet a fájl -> Nyisd ki és keresse meg a fájlt. Te is dupla kattintás a rögzítési fájl megnyitásához a Wiresharkban, mindaddig, amíg meg nem rendelkezik a * .pcap fájlkiterjesztéssel. Ha a -w opció, amikor futtatta a tcpdump fájlt, a fájl normálisan betöltődik, és megjeleníti a forgalmat.
Saját esetemben Apache szervert futok a távoli gazdagépen, és érdekel a HTTP-adatok megtekintése. Beállítottam a megfelelő Wireshark nézetszűrőt, és a szokott módon böngészhetem a rögzített kereteket.
Tesztelésként beágyaztam egy elemet a HTML kódba, amely nem jelenik meg az oldalon. Képesek lennék megtalálni az adatfolyamban, és megtekinteni a Wireshark segítségével.
Mint láthatja, a Wireshark képes elemezni az egyes képkockákat, és az adatok finom megjelenítésére képes. A rejtett elem a fenti példában jelenik meg. A rögzítési folyamat egy kicsit nagyobb a részvétel a tcpdump használatakor, de a Wireshark programban minden a szokásos módon működik.
Parancssori beállítások használata a tcpdump számára
Legtöbbször, amikor elindítja a tcpdump fájlt, bizonyos ellenőrzést igényel a csomagok rögzítésének és a munkamenet tárolásának módja felett. A parancssori lehetőségekkel vezérelheti a dolgokat. Ezek a tcpdump leghasznosabb parancssori lehetőségei.
tcpdump -w
Az -w A parancssori opció engedélyezi a Wireshark kompatibilis kimenetet. Egy változóra van szükség, amely a kimeneti fájlnév. Az ezzel az opcióval mentett rögzítési naplók nem lesznek emberi olvashatóak a Wireshark-n kívül, mivel ezek inkább bináris, mint ASCII-fájlban vannak tárolva..
tcpdump -C
Az -C A parancssori opció lehetővé teszi a maximális fájlméret byte-ban történő beállítását. Ez az opció csak együtt működik -w. Például a parancs tcpdump -C 1048576 -w capture.pcap egy fájl rögzítésének maximális méretét 1 MB (1 048 576 bájt) határozza meg capture.pcap.
Ha a munkamenet nagyobb mennyiséget generál, akkor új fájlokat hoz létre, amelyekben tárolni tudja. Tehát egy 3 MB-os rögzítés generál capture.pcap, capture1.pcap, és capture2.pcap mindegyik 1 MB fájlméretű.
tcpdump -s
Az -s A parancssori opció beállítja az egyes csomagok maximális hosszát bájtban, és csonkolja a csomagot, amikor a maximális értéket elérik. A parancs tcpdump -s 0 korlátlan hosszúságot állít be annak biztosítása érdekében, hogy a teljes csomagot elfogják.
tcpdump -i
Az -én A parancssori beállítás megadja, hogy melyik hálózati eszközt szeretné megfigyelni a tcpdump segítségével. Ha nincs megadva interfész, akkor az alapértelmezés szerint a jelenleg futó legalacsonyabb számú interfészre vonatkozik.
tcpdump -list-interfészek
A parancssori lehetőség tcpdump -list-interfészek kinyomtatja az összes olyan felület listáját, amelyekhez a tcpdump elérhető. Vegye figyelembe, hogy ez nem indítja el a rögzítési munkamenetet, de megad egy listát a -én fenti opciót.
tcpdump -c
Az -c A parancssori beállítás megmondja a tcpdump számára, hogy egy meghatározott számú csomag elfogása után lépjen ki a munkamenetből.
tcpdump -n
Az -n A parancssori opció a tcpdump parancsot utasítja nem IP-címek feloldása a hostnevek között. Ez akkor hasznos, ha a terheléselosztó kiszolgáló mögött található webhelyek hibaelhárítását végzi, és néhány más esetben, ha a gazdagépnév kétértelmű eredményeket eredményez..
tcpdump -v | -vv | -vvv
A három parancssori lehetőség, -v, -vv, és -VVV lehetővé teszi, hogy növelje a rögzítési munkamenet sokoldalúságát. -v menti az egyes csomagok TTL értékeit, a ToS információkkal együtt. -vv kiadja a TTL-t és a ToS-ot, további információkkal együtt az NFS-csomagokban. És -VVV mindent rögzít, amelyet az első két lehetőség tesz, és a telnet-munkamenetekből származó további információkat.
tcpdump -F
Az -F A parancssori opció utasítja a tcpdump-t, hogy használjon rögzítési szűrőket a megadott fájlból. A rögzítési fájl írásáról további információt a következő szakaszban talál.
Rögzítő szűrők használata a tcpdump számára
A rögzítési szűrők segítségével szűkítheti azokat az adatokat, amelyeket a tcpdump tárol egy munkamenet során. Hasznos módszer az elemzés kicsit könnyebbé tételére és a rögzítési fájlok kicsi tartására. Itt található a tcpdump legmegfelelőbb rögzítési szűrője.
házigazda
Ez a szűrő meghatározza, hogy csak a célgazda felé irányuló és onnan érkező forgalmat kell rögzíteni. Érvként IP-címet vagy gazdagépnevet vesz igénybe.
háló
A nettó szűrő megmondja a számítógépének, hogy csak egy adott alhálózaton tárolja a forgalmat, és argumentumként IP-címet vesz. Például a 192.168.1.0/24 meghatározza, hogy az alhálózat összes gazdagépére vagy onnan érkező forgalmat rögzítik. Vegye figyelembe, hogy alhálózati maszkhoz perjelöléssel kell rendelkeznie.
dst host
Hasonló házigazda, Ez a szűrő meghatározza, hogy csak az adott gazdagép rendeltetési helyével rendelkező forgalmat fogják rögzíteni. Arra is használható háló.
src host
A fentiekhez hasonlóan, de ez a szűrő csak a megadott gazdagépről vagy IP-címről származó forgalmat rögzíti. Arra is használható háló.
kikötő
Ez a szűrő azt mondja a tcpdump-nak, hogy rögzítse a forgalmat egy adott portszámra és onnan. Például, port 443 rögzíti a TLS forgalmat.
portrange
A portrange-hez hasonlóan a portrange portok sorozatát is meghatározza, amelyeken a forgalom rögzítve van. A portrange szűrő használatához adja meg a kezdő portot és a befejező portot vonallal elválasztva. Például, portrange 21-23.
átjáró
Az átjárószűrő meghatározza, hogy a számítógépnek csak azt a forgalmat kell rögzítenie, amely átjáróként egy adott gazdagépnevet használt. A gazdagép nevét a következő helyen kell megtalálni / Etc / hosts.
adás
A sugárzási szűrő meghatározza, hogy a tcpdump-nak csak az alhálózat összes gazdagépének sugárzott forgalmat kell rögzítenie.
IP multicast
Ez a szűrő azt mondja a tcpdump-nak, hogy csak a multicast-forgalmat rögzítse a gazdagép alhálózatán.
és / vagy nem üzemeltetők
A szűrők a és, vagy, vagy nem szereplők számára. Például egy adott gazdagépen az összes webes forgalom rögzítéséhez használhatja a szűrőt 80-as port vagy port 443. Vagy a szűrő segítségével rögzítheti az adott alhálózat összes forgalmát, a műsorszóró csomagok kivételével net 192.168.1.0/24 és nem sugárzott.
A gyakorlatban nagyon gyakori a szűrő-operátorok használata, mivel ezek további részletességű réteget biztosítanak a rögzített elemek számára. Pontosan rögzítheti a szükséges forgalmat anélkül, hogy sok extra hálózati beszélgetést kellene folytatnia.
Komplex kifejezések több operátorral
Még bonyolultabb kifejezéseket lehet létrehozni, ha több műveletet vesznek körül egyetlen mondatban és zárójelben. Például az összes e-mail forgalmat, beleértve az SMTP-t, az IMAP-t, az IMAP-ot TLS-en keresztül, a POP3-ot és a POP3-ot a TLS-en keresztül, több gazdagépen és alhálózaton keresztül, az alábbi parancs segítségével figyelheti:
tcpdump ‘(host 10.0.0.1 és net 192.168.1.0/24) és ((25. port vagy 143 port vagy 443 port vagy 993 port vagy 995 port)) ”
Nagyon hasznosak lehetnek a több operátort tartalmazó komplex kifejezések, ám ezeket általában szűrőfájlba menti újrafelhasználás céljából, mivel egyetlen gépelés miatt a rögzítés meghiúsul. Gyakran előbb fel kell készülniük és hibakeresésre van szükség.
Szűrőfájlok használata a tcpdump fájlhoz
A fenti szűrők a tcpdump indításakor a parancssorban is futtathatók, de gyakran hasznos egy szűrőfájl létrehozása. A szűrőfájl megkönnyíti a szűrőbeállítások visszaállítását a rögzítések között, mivel az újrafelhasználható. Ez a lépés egy szűrőfájl írására és használatára.
Írja be a szűrőfájlt
A szűrőfájlok pontosan ugyanazt a jelölést használják, mint a parancssor. Nem igényelnek speciális karaktereket vagy mágikus számokat a fájl tetején.
Például, itt van egy írt szűrőfájl, amely rögzíti az összes Apache szerverről egy adott gazdagépre kimenő webes forgalmat. Ebben az esetben a Chromebookot írok.
Mindaddig, amíg a fájl olvasható a tcpdumpot futtató felhasználó számára, a program megpróbálja mindent elemezni a szűrőfájlban, és érvényes szűrőként használja azt.. Amikor a A szűrőfájlt a parancssori szűréssel együtt használják, az összes parancssori szűrést figyelmen kívül hagyjuk.
Utasítsa a tcpdump-t, hogy használja az adott szűrőfájlt a -F parancssori opció, majd a fájl elérési útja. A fenti példában a szűrőfájl abban a könyvtárban található, amelyben a tcpdump-ot végrehajtom.
Íme a szűrt munkamenet nyers kimenete. Láthatja, hogy az egyetlen bejelentkezett csomag származik 80-as port vagy 443, és a gazda felé kimennek a 192.168.1.181 címen.
Amint látja, hogy a szűrő megfelelően működik, rögzítse a Wireshark által elemezendő munkamenetet az ehhez hasonló paranccsal:
sudo tcpdump -i eth0 -s 0 -w wirehark.pcap -F filter-file
Wireshark és tcpdump
Hacsak nem felügyelt kapcsolót futtat egy adminisztrációs porttal, előbb vagy utóbb be kell vonnia a forgalmat a távoli szerveren. Amikor a Wireshark önmagában nem fogja elvégezni a munkát, a tcpdump-rel ellátott Wireshark népszerű választás. A kettő nagyon jól működik együtt, és néhány egyszerű parancssori opcióval a tcpdump exportálja a Wiresharkban könnyen elemezhető rögzítési munkameneteket..
ett munkamenetet átvisszük a helyi számítógépre, és Wireshark segítségével elemezzük. A tcpdump használata lehetővé teszi számunkra, hogy rögzítsük a forgalmat, még akkor is, ha nincs professzionális hálózati berendezésünk. A Wireshark és a tcpdump együtt használva nagyszerű eszközöket jelentenek a hálózati forgalom elemzéséhez és a hálózati problémák diagnosztizálásához. Azonban, ha a Wireshark nem nyújt elegendő információt, akkor érdemes kipróbálni a SolarWinds válaszidő-megjelenítőjét vagy a hálózati teljesítményfigyelőt, amelyek további lehetőségeket kínálnak a hálózati problémák megoldásához.
ett munkamenetet átvisszük a helyi számítógépre, és Wireshark segítségével elemezzük. A tcpdump használata lehetővé teszi számunkra, hogy rögzítsük a forgalmat, még akkor is, ha nincs professzionális hálózati berendezésünk. A Wireshark és a tcpdump együtt használva nagyszerű eszközöket jelentenek a hálózati forgalom elemzéséhez és a hálózati problémák diagnosztizálásához. Azonban, ha a Wireshark nem nyújt elegendő információt, akkor érdemes kipróbálni a SolarWinds válaszidő-megjelenítőjét vagy a hálózati teljesítményfigyelőt, amelyek további lehetőségeket kínálnak a hálózati problémák megoldására.