Извођење даљинског снимања помоћу Виресхарк-а и тцпдумп-а

Виресхарк тцпдумп даљинско снимање

Виресхарк је моћан алат, али има своја ограничења. Ако немате професионалну мрежну опрему, тешко је анализирати саобраћај који не укључује рачунар. Понекад је најједноставније решење употребити тцпдумп за хватање саобраћаја на удаљеном серверу, а затим покренути Виресхарк да га погледа..

Шта су Виресхарк и тцпдумп?

Виресхарк је анализатор протокола, део софтвера који биљежи и представља податке који теку кроз вашу мрежу на читљив начин. Помоћу Виресхарк-а можете анализирати улаз и излаз из мрежних сервиса и веб апликација.

Иако Виресхарк ради сјајан посао хватања сваког пакета који пролази поред њега, у неким случајевима ћете морати да анализирате сесију са удаљеног сервера. Ако немате посебну мрежну опрему, ово може бити тешко. Понекад је лакше ухватити саобраћај на удаљеном серверу, а затим га анализирати на радној површини.

тцпдумп је анализатор пакета наредбеног ретка. Није једноставан за употребу као Виресхарк, али је једнако способан да ухвати саобраћај. Пошто се тцпдумп покреће у терминалном режиму, могуће га је покренути путем ССХ сесије. Помоћу исправних опција командне линије можете извести сесију тцпдумп-а која је компатибилна са Виресхарк-ом.

СоларВиндс води Виресхарк на следећи ниво

Виресхарк и тцпдумп су снажни програми, али имају слабе тачке. Конкретно, врло је тешко утврдити проблеме са закашњењем у мрежи користећи Виресхарк изван оквира. На пример, можда патите од великих пингова на вашем ЛАН-у, а Виресхарк не може много да помогне.

Прегледник времена одзива СоларВиндс за Виресхарк (БЕСПЛАТНИ АЛАТ)

У том случају, препоручујем Прегледник времена одзива СоларВиндс за Виресхарк. Овај додатак проширује Виресхарк, омогућавајући вам да дијагностикујете узрок пинг-а и укупне мале брзине мреже.

Прегледник времена одзива СоларВиндс за Виресхарк

Прегледник времена одзива СоларВиндс за ВиресхаркДовнлоад 100% БЕСПЛАТНИ алат

Монитор перформанси СоларВиндс (БЕСПЛАТНО ИСПИТИВАЊЕ)

СоларВиндс такође нуди одлично решење све у једном за вашу мрежу. Зове се Монитор перформанси мреже (НПМ), и то знатно олакшава администрацију мреже. На пример, коришћењем СоларВиндс Нетворк Перформанце Монитор-а, можете надгледати и управљати бежичним ЛАН-ом, генерисати основну линију перформанси и добијати безбедносна упозорења у реалном времену..

Слика монитора перформанси мреже СоларВиндс

Монитор перформанси мреже СоларВиндс доступан је за испробавање без ризика током 30 дана. Пријавите се овде бесплатно.

СоларВиндс Нетворк Перформанце МониторДовнлоад 30-дневна БЕСПЛАТНА пробна верзија

Пре него што почнете

Да бисте пратили упутства из овог водича, требаће вам следеће:

  • Удаљени рачунар са инсталираним ССХ сервером и тцпдумп
  • Коријенски приступ
  • Услуге које генеришу мрежни промет, попут Апацхе или ноде.јс, раде на удаљеном рачунару
  • Локални рачунар са ССХ клијентом и инсталираним Виресхарк-ом

Циљ је употреба тцпдумп-а на удаљеном рачунару, путем ССХ-а, за хватање мрежног промета. Тада се заробљени саобраћај може копирати у локални рачунар на анализу помоћу Виресхарк-а.

Ово је корисно када немате физички приступ удаљеном рачунару или га радите без главе, тј. Без тастатуре и монитора.

Снимање пакета помоћу тцпдумп-а

Да бисте заробили саобраћај помоћу тцпдумп-а, мораћете да се повежете на удаљени рачунар преко ССХ-а. Такође ће вам требати роот приступ, јер у супротном тцпдумп неће моћи да забележи саобраћај и видећете грешку која наводи Немате дозволу за снимање на том уређају.

тцпдумп - Снимање 1

Када се повежете, покрените следећу наредбу да бисте започели хватање саобраћаја помоћу тцпдумп:

судо тцпдумп -с 0 -и етх0 -в тцпдумп.пцап

Опције командне линије које сам користио за снимање ове сесије ће бити објашњене у даљем тексту. Укратко, горња наредба ће заробити сав промет на Етхернет уређају и уписати га у датотеку под називом тцпдумп.пцап у формату компатибилном са Виресхарк-ом.

тцпдумп - Снимање 2

Када завршите са снимањем саобраћаја, завршите сесију тцпдумп Цтрл + Ц. Видећете кратко читање на коме се приказују неке информације о сесији хватања.

тцпдумп - Снимање 3

Пре него што копирате саобраћај са свог удаљеног рачунара на локални ради анализе са Виресхарк-ом, мораћете да промените дозволе. Тцпдумп сесије које је снимљен коријеном подразумевано не могу се копирати. Користите ову наредбу:

судо цхмод 644 тцпдумп.пцап

То ће вам омогућити да копирате датотеку на локални рачунар помоћу сцп-а, као што је описано у следећем кораку.

Копирање тцпдумп сесије за анализу

Након што завршите сесију снимања помоћу тцпдумп-а, остаћете проблем. Како је копирате на машину која покреће Виресхарк ради анализе? Постоји пуно начина, али мислим да је најлакши с сцп. Пошто сте већ снимили пакете на машини без главе користећи ССХ, све што вам је потребно за употребу сцп-а је већ инсталирано и покренуто.

тцпдумп - Снимање 4

Корисници Виндовс-а ће морати да преузму псцп, а затим копирају датотеку у Ц: \ Виндовс \ Систем32. Већина корисника Маца и Линука већ има све што им је потребно.

тцпдумп - Снимање 5

У Мац или Линук-у отворите прозор терминала и покрените следећу наредбу да копирате датотеку за снимање сесије:

сцп усернаме@ИП.аддресс: / пут / до / филе ./

Или у Виндовс-у, отворите ПоверСхелл и покрените ову наредбу:

псцп.еке усернаме@ИП.аддресс: / пут / до / филе. \

Замените своје податке где је то могуће. Биће вам затражено да унесете лозинку. Команде које сам користио налазе се на горњој слици за референцу.

тцпдумп - Снимање 6

Проверите да ли се датотека копирала како се очекује, и да ли сте спремни да анализирате тцпдумп сесију помоћу Виресхарк-а.

Анализа снимљеног тцпдумп сесије са Виресхарк-ом

Анализа функционише исто као и било које традиционално снимање Виресхарка; једино што треба да знате је како увести датотеку.

тцпдумп - Снимање 7

Покрените Виресхарк, а затим увезете снимљену сесију тцпдумп користећи Филе -> Отвори и потражите датотеку. Можете такође дупли клик датотеку за снимање да бисте је отворили у Виресхарку, све док има * .пцап датотечну екстензију. Ако сте користили Када покренете тцпдумп, датотека ће се нормално учитати и приказати саобраћај.

тцпдумп - Снимање 7

У мом случају покрећу Апацхе сервер на удаљеном хосту и занима ме ХТТП подаци. Постављам одговарајући филтер за Виресхарк приказ и могу прегледати снимљене кадрове као и обично.

Као тест, уградио сам елемент у ХТМЛ код који није приказан на страници. Требао бих бити у могућности да га лоцирам у протоку података и видим га помоћу Виресхарк-а.

тцпдумп - Снимање 8

Као што видите, Виресхарк је у стању да анализира сваки кадар и прикаже податке сасвим у реду. Елемент који сам сакрио приказује се у горњем примеру. Процес снимања је мало више укључен када користите тцпдумп, али све у Виресхарку делује као и обично.

Кориштење опција наредбеног ретка за тцпдумп

Већину времена када покренете тцпдумп желеће вам се одређена контрола над начином снимања пакета и смештањем сесије. Такве ствари можете контролисати користећи опције командне линије. Ово су неке од најкориснијих опција командне линије за тцпдумп.

тцпдумп -в

Тхе опција командне линије омогућава Виресхарк компатибилан излаз. Потребна је једна варијабла, која је назив излазне датотеке. Дневници снимања сачувани помоћу ове опције неће бити читљиви људима изван Виресхарка, јер су смештени у бинарном формату, а не у АСЦИИ.

тцпдумп -Ц

Тхе опција наредбене линије вам омогућава да поставите максималну величину датотеке у бајтовима. Ова опција функционише само упоредо . На пример, команда тцпдумп -Ц 1048576 -в цаптуре.пцап одређује максималну величину снимања од 1МБ (1,048,576 бајта) на излаз у датотеку цаптуре.пцап.

Ако сесија генерише већу количину излаза, створиће нове датотеке у које ће се сместити. Дакле, снимање од 3 МБ би створило цаптуре.пцап, цаптуре1.пцап, и цаптуре2.пцап сваки са величином датотеке од 1 МБ.

тцпдумп -с

Тхе опција наредбене линије поставља максималну дужину за сваки пакет у бајтовима и скраћује пакет када је достигнут максимум. Команда тцпдумп -с 0 поставља неограничену дужину како би се осигурало хватање читавог пакета.

тцпдумп -и

Тхе -ја опција командне линије одређује који мрежни уређај желите да пратите тцпдумп. Ако није наведено интерфејс, он се подразумевано поставља на интерфејс са најмањим бројем који тренутно ради.

тцпдумп -лист-интерфејси

Опција командне линије тцпдумп -лист-интерфејси ће одштампати листу свих интерфејса који су доступни тцпдумп-у да се придружи. Имајте на уму да ово не започиње сесију хватања, али ће вам дати листу интерфејса које можете користити са -ја опција изнад.

тцпдумп -ц

Тхе опција наредбеног ретка говори тцпдумп да напусти сесију након хватања одређеног броја пакета.

тцпдумп -н

Тхе опција наредбеног ретка упућује тцпдумп не да бисте решили ИП адресе на имена хоста. Ово је корисно приликом решавања проблема са веб локацијама иза сервера за балансирање оптерећења, а у неколицини других случајева када би име хоста дало нејасне резултате.

тцпдумп -в | -вв | -ввв

Три опције командне линије, , -вв, и -ввв омогућавају вам да повећате вербоситет сесије хватања. ће сачувати ТТЛ вредности за сваки пакет, заједно са ТоС информацијама. -вв ће исписати ТТЛ и ТоС заједно са додатним информацијама у НФС пакетима. И -ввв евидентираће све што раде прве две опције, заједно са додатним информацијама из телнет сесија.

тцпдумп -Ф

Тхе опција наредбеног ретка упућује тцпдумп да користи филтре за хватање из наведене датотеке. Више информација о писању датотеке за снимање можете пронаћи у следећем одељку.

Коришћење филтера за снимање за тцпдумп

Филтери за снимање вам омогућавају сужавање података које тцпдумп похрањује у сесију. Они су користан начин да анализу мало олакшају и сачувају датотеке за снимање малим. Ево неких од најкориснијих филтера за хватање за тцпдумп.

домаћин

Овај филтер одређује да се мора хватати само промет до циљаног домаћина и од њега. Као аргумент узима ИП адресу или име хоста.

нето

Нето филтер ће рећи вашем рачунару да хвата само саобраћај у датој подмрежи и узеће ИП адресу као аргумент. На пример, 192.168.1.0/24 одређује да ће саобраћај ка свим домаћинима у подмрежи бити заробљен. Имајте на уму да је потребна подмрежна маска у косој нотацији.

дст хост

Слично домаћин, овај филтер за хватање одређује да ће бити заробљен само саобраћај са одредиштем одређеног домаћина. Може се користити и са нето.

срц хост

Као и горе, али овај филтер биљежи само промет који потиче са наведеног хоста или ИП адресе. Може се користити и са нето.

Лука

Овај филтер говори тцпдумп да прикупи саобраћај до и са одређеног броја порта. На пример, порт 443 ће привући ТЛС саобраћај.

портранге

Слично филтру портова, портранге успоставља низ портова на којима се снима промет. За употребу портранге филтра наведите почетни и крајњи порт одвојене цртицом. На пример, портранге 21-23.

пролаз

Филтар за приступ (гатеваи филтер) одређује да ваш рачунар треба хватати само саобраћај који је користио одређено име хоста као гатеваи. Име домаћина мора бити пронађено у / етц / хост.

емитовање

Филтер за емитовање одређује да тцпдумп треба хватати само саобраћај који се емитује свим домаћинима на подмрежи.

ИП мултицаст

Овај филтер каже тцпдумп да прикупи само вишеструки промет у подмрежи главног рачунала.

и / или / не оператери

Филтери се могу везати заједно помоћу и, или, или не оператера. На примјер, да бисте снимили сав веб промет на датом хосту, могли бисте користити филтер порт 80 или порт 443. Или можете снимити сав промет на одређеној подмрежи осим емитирања пакета помоћу филтера нето 192.168.1.0/24 и не емитују се.

У пракси се често користе оператори филтера, јер пружају додатни слој прецизности вашим снимањима. Можете ухватити тачно саобраћај који вам је потребан, без много додатног мрежног разговора.

Сложени изрази са више оператора

Још сложенији изрази могу се градити окружењем више операција у једним апострофама и заградама. На пример, можете да надгледате сав промет поште, укључујући СМТП, ИМАП, ИМАП преко ТЛС, ПОП3 и ПОП3 преко ТЛС-а, преко вишеструких хостова и подмрежа, користећи наредбу као што је ова:

тцпдумп '(хост 10.0.0.1 и нето 192.168.1.0/24) и ((порт 25 или порт 143 или порт 443 или порт 993 или порт 995))'

Сложени изрази са више оператора могу бити врло корисни, али се обично спремају у филтријску датотеку ради поновне употребе, јер једна погрешка при погрешној снимци узрокује неуспех. Често их треба припремити унапред и отклонити грешке.

Коришћење датотека за филтрирање за тцпдумп

Горњи филтри се могу покренути у командној линији када се покрене тцпдумп, али често је корисно направити датотеку филтера. Филе филтер олакшава репродукцију поставки филтра између снимака, јер је поново употребљив. Ево корака за писање и коришћење филтрирајуће датотеке.

Запишите датотеку филтра

Филе датотеке користе потпуно исту ознаку као и наредбена линија. Не захтевају никакве посебне знакове или магичне бројеве на врху датотеке.

тцпдумп - Снимање 9

На пример, ево датотеке за филтре коју сам написао која ће заробити сав одлазни веб саобраћај са мог Апацхе сервера на одређени домаћин. У овом случају, Цхромебоок о коме пишем.

Све док је датотека читљива од стране корисника који ради тцпдумп, програм ће покушати да анализира све у датотеци филтра и користи га као валидан филтер. Када Употребљава се датотека за филтрирање заједно са филтрирањем командне линије, а све филтрирање наредбене линије биће занемарено.

тцпдумп - Снимање 10

Упутите тцпдумп да користи било коју дато датотеку филтера користећи опција командне линије, праћена стазом до датотеке. У горњем примјеру, датотека филтера налази се у истој директорији у којој извршим тцпдумп.

тцпдумп - Снимање 11

Ево необрађеног резултата са филтриране сесије. Можете видети да једини пакети који су пријављени потичу од порт 80 или 443, и одлазе до домаћина у 192.168.1.181.

тцпдумп - Снимање 12

Једном када видите да ваш филтер ради како је планирано, снимите сесију која се анализира помоћу Виресхарк користећи наредбу сличну овој:

судо тцпдумп -и етх0 -с 0 -в виресхарк.пцап -Ф филтер-филе

Виресхарк и тцпдумп

Ако не покрећете управљани прекидач са административним портом, пре или касније требаћете заробити саобраћај на удаљеном серверу. Када Виресхарк сам не ради посао, Виресхарк са тцпдумпом је популаран избор. Њих двоје заиста добро раде заједно, и уз неколико једноставних опција командне линије, тцпдумп ће извести сесије хватања које се лако могу анализирати у Виресхарк-у.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

45 + = 50

Adblock
detector