Шта је тцпдумп?

Шта је тцпдумп

Ако имате оперативни систем сличан Унику (Линук, Мац ОС), можете користити тцпдумп за испитивање мрежног промета. Програм тцпдумп је услужни програм наредбеног ретка који се може бесплатно инсталирати. Није уобичајено интегрисан у оперативне системе, па га морате инсталирати из тцпдумп ГитХуб регистра или са званичног веб локације тцпдумп.

Елементи тцпдумп-а

Услужни програм за хватање пакета који користи тцпдумп обезбеђује либпцаб, што је Ц / Ц ++ библиотека процедура. Главни програм тцпдумп је интерфејс за процес хватања пакета. Када се покрене, покренут ће поступак либцап за хватање пакета и потом приказивање њиховог садржаја на екрану. Ако се не покрене ограничење броја пакета које треба заробити када се програм покрене, он ће се и даље трајати заувек. Обрада се затим прекида прекидним сигналом (Цонтрол-Ц).

Програм се покреће у командној линији и укључује низ опција које су означене заставама. Ове заставе мењају понашање програма како би га натерале да одабере пакете који одговарају одређеном узорку, ограничи његово време рада или натера да чита сачуване пакете из датотеке, а не са мрежног интерфејса..

Тцпдумп формат

Наредба тцпдумп може се издати сама или са опцијама, параметрима и / или регуларним изразима. Ниједан од ових елемената није обавезан и редослед није важан.

тцпдумп <-оптион_идентифиер>

Опције Тцпдумп-а

Наредба тцпдумп је праћена опцијама које су такође познате као заставе. Сваки од њих означен је цртицом, а затим слово. Испод је листа сваке од ових застава.

-А        исписује пакете у АСЦИИ без заглавља на нивоу везе

-б         прикажите АС број је АСДОТ формат

       буффер_сизе у јединицама КиБ (1024 бајта)

        рачунати - ограничење пакета за хватање

       величина фајла - процес ће створити нову датотеку након што се попуни ограничење величине датотеке; Величина је 1 милион бајта

-д        Избаци компајлирани код за подударање пакета у АСЦИИ

-дд      Избаците код за подударање пакета као Ц програмски фрагмент

-ддд    Избаци двострани код који се подудара као децимални бројеви који су претходили бројању

-Д        Листа свих доступних интерфејса

-е         Одштампајте заглавље на нивоу везе на свакој одводној линији

        спи @ ипаддр алго: тајна - за дешифровање ИПсец ЕСП пакета:

             спи је индекс сигурносних параметара

              ипаддр је одредишна адреса на пакету

              алго је алгоритам на који се не наплаћује дес-цбц а поље није обавезно.

              Могуће вредности су:

  • дес-цбц
  • 3дес-цбц
  • бловфисх-цбц
  • рц3-цбц
  • цаст128-цбц

тајна је АСЦИИ текст за ЕСП тајни кључ. Ако му претходи 0к, онда је то шеснаеста вриједност

         Штампајте „стране“ ИПв4 адресе нумерички, а не симболично

        датотека - употреба датотека као улаз за израз филтра

       ротате_сецондс - период за окретање датотеке за снимање опције -в, додаће временску ознаку у име

        Одштампајте низове верзије тцпдумп и либпцап, одштампајте поруку о употреби и изађите

-Х        Откријте заглавље нацртаних мрежа 802.11с

-ја          интерфејс - интерфејс на коме треба да се слуша, подразумевано се поставља абецедно ниже име

-Ја          монитор-моде | непосредни режим - уклања пуфер

         тстамп_типе - подесите врсту временске ознаке за снимање на тстамп_типе

-Ј         тстамп_прецисион - подесите прецизност временске ознаке (микро или нано) подразумевано је микро. Ако тстамп_прецисион је нулл, навести врсте временских ознака и изаћи

       Не верификујте контролне суме

         Избачена линија линија На пример. тцпдумп -л | тее дат или                                                                                                   тцпдумп -л > дат & реп -ф дат

        Наведи познате типове веза за податке за интерфејс, у наведеном режиму и изађите

      модул - учитајте дефиниције СМИ МИБ модула из датотеке модул.

      тајна - дељена тајна вредност за валидацију са ТЦП-МД5 опцијом

       Не претварајте адресе (тј. Адресе хоста, бројеве портова итд.) У имена

-Н        Не исписујте квалификацију имена домена домаћина

-#         Одштампајте опционални број пакета на почетку реда

       Не покрените алат за оптимизацију кода за подударање пакета

-п         Не стављајте интерфејс у ​​промискуитетни режим

       правац - упутство за слање / примање. Може бити ин, напоље, или иноут

-к         Одштампајте мање података о протоколу

         датотека - читајте пакете са датотека. Спецификовати - за стандардни улаз

        Испишите апсолутне бројеве ТЦП секвенци

        снаплен - снарф снаплен бајтова из сваког пакета, а не подразумеваних 262144 бајтова

        тип - интерпретирати пакете као што је наведено тип. Опције су:

  • аодв                   Ад-хоц протокол вектора на даљину на захтев
  • шаран                    Заједнички протокол о редундантности адреса
  • цнфп                    Цисцо НетФлов Протоцол
  • лмп                     Протокол за управљање везама
  • пгм                    Прагматични општи мултицаст
  • пгм_змтп1       ЗМТП / 1.0 унутар ПГМ / ЕПГМ)
  • респ                   РЕдис протокола о сериализацији
  • радијус                РАДИУС
  • рпц                     Позив на даљински поступак
  • ртп                      Протокол апликација у реалном времену
  • ртцп                    Протокол контроле апликација у реалном времену
  • снмп                 Једноставно управљање мрежним протоколом
  • тфтп                     Тривиални протокол за пренос датотека
  • ват                      Висуал Аудио Тоол
  • вб                      дистрибуирана бела табла
  • змтп1                 ЗероМК протокол за транспорт порука 1.0
  • вклан                  Виртуелна еКстенсибле локална мрежа

-т          Не исписујте временску ознаку на свакој одлагачкој линији

-тт        Одштампајте временску ознаку као офсет од 1. јануара 1970. на свакој одлагачкој линији

-ттт       Испишите делта (резолуција микро-секунде) између тренутне и претходне линије

-тттт      Штампање временске ознаке: датум, сат, минута, секунда на свакој одлагачкој линији

-ттттт     Испишите делта (микросекундација) између тренутне и прве линије

-у         Испишите некодиране НФС ручке

       Буфер пакета

-в         Нешто више детаља

-вв       Већи детаљни излаз

-ввв     Већина вербалних резултата

       датотека - прочитајте списак датотека са адресе датотека. Стандардни улаз се користи ако датотека је -

       датотека - писати излаз у датотека

-В       лимит - максимални број датотека које треба да креира и Опције

-Икс         Испишите податке сваког пакета минус његово заглавље на нивоу везе у шестерокутном облику

-кк       Испишите податке сваког пакета, укључујући заглавље нивоа везе у хекс

-Икс         Испишите податке сваког пакета минус заглавље нивоа везе у хек и АСЦИИ

-КСКС       Испишите податке сваког пакета, укључујући заглавље нивоа везе у хек и АСЦИИ.

-и         даталинктипе - Подесите врсту везе за пренос података која ће се користити приликом хватања пакета на                          даталинктипе

        постротате-цомманд - обрадити датотеке за снимање обично компримовањем, нпр -з гзип

        корисник - промените ИД корисника у корисник и ИД групе примарној групи корисник

Тцпдумп параметри

Параметри за тцпдумп су такође познати као примитиви. Они одређују да ли би хватање пакета требало да добије само податке добијене од одређених хостова. Ови параметри се такође могу изразити као услови користећи Боолове операторе и, или, и не.  Не морате да постављате знак једнаке вриједности (=) између назива параметра и његове вредности и не морате да постављате интервале параметре са интерпункцијским бројевима. У сваком случају, требате само простор.

Од ових параметара најчешће се користи домаћин, који вам омогућава да ограничите снимање на преносе из само једног извора. У сваком случају име уређаја као вредности параметра може се заменити његовом адресом. Ако параметар има а дст верзије, ова варијација ограничава излаз на само пакете који имају тај атрибут за своје одредиште. Параметри који укључују срц потражите пакете који имају дату вредност у подацима који се односе на њихово поријекло.

Ево опција параметара:

домаћин хост_наме - такође дст хост или срц хост.

Такође се може припремити са ип, арп, или рарп

етер            ехост - вредност из / етц / етера или броја. Такође етхер срц и етер дест.

пролаз       домаћин - набавите пакете који су прошли кроз гатеваи домаћин

нето                нетворк_нум - ИП извор или одредиште укључује нетворк_нум                                               Такође дст нет и срц нет

Лука               број | име - такође дст порт и срц порт.                                                                                   Може бити са тцп или удп ограничити протокол

ип прото          протокол - хватање ИП пакета именованог протокола. Име мора бити у / етц / протоколима

етер прото    протокол - хватање пакета етерског протокола. Опције за протокол су број или:

  • ип
  • ип6
  • арп
  • рарп
  • разговор
  • аталкарп
  • децнет
  • децдтс
  • децднс
  • ланбридге
  • лат
  • мопдл
  • мопрц
  • штене
  • сца
  • сприте
  • стп
  • векп
  • впрод
  • кнс

Емитовање     Снима Етхернет емитиране пакете. Такође написано као етерска емисија

ип емисија Снима ип емитирање пакета

мултицаст       Снима Етхернет мултицаст пакете. Такође се пише као етер мултицаст

ип мултицаст   Снима ИП мултицаст пакете

децнет хост   хост_наме - ако је или ДЕЦНЕТ извор или одредиште хост_наме

децнет срц     хост_наме - снимање ако је извор ДЕЦНЕТ хост_наме

децнет дст     хост_наме - снимање ако је ДЕЦНЕТ одредиште хост_наме

влан хост      ехост - ако је прва, друга, трећа или четврта ИЕЕЕ 802.11 адреса                                             ехост

влан аддр1    ехост - снимање ако је прва ИЕЕЕ 802.11 адреса ехост

влан аддр2    ехост - снимање ако је друга ИЕЕЕ 802.11 адреса ехост

влан аддр3    ехост - снимање ако је трећа ИЕЕЕ 802.11 адреса ехост

влан аддр4    ехост - ако је четврта ИЕЕЕ 802.11 адреса ехост. Користи се само за ВДС

тип                тип - снимање ако је ИЕЕЕ 802.11 врста оквира тип, који је број или:

  • података
  • мгт
  • цтл

подврста           подврста - снимање ако је ИЕЕЕ 802.11 оквир подврста, који је број или:

  • ассоцрек
  • Ассоцресп
  • Ресоцрек
  • ресоцресп
  • проберек
  • пробересп
  • светионик
  • атим
  • цатасоц
  • аутх
  • деаутх
  • података

дир                    дир - снимање ако је смјер оквира ИЕЕЕ 802.11 дир, који је број или:

  • климне главом
  • тодс
  • оддс
  • дстодс

Тцпдумп израз

Сегмент израза тцпдумп наредбе пружа вам могућност да додате мало програмирања у свој избор пакета. За разлику од редовног програма, овај скуп упутстава мора бити написан у једној линији. Ако сте чест корисник Уник-а или Линук-а, навикаваћете се на регуларне изразе скрипта шкољки и не бисте требали имати проблема са разумевањем формата ових филтера.  

Пакети који испуњавају тест предвиђен изразом биће снимљени. Дакле, резултат сваког израза мора бити „тачан“.

Постоји неколико услова израза који се обично не сусрећу код скриптирања шкољки и они су наведени у наставку:

лен

Ово враћа дужину пакета. Пример употребе: лен! = 5.

прото [екпр: величина]

У овом објекту:

прото је назив слоја протокола. То може бити:

  • етер
  • фдди
  • ип
  • арп
  • рарп
  • тцп
  • удп
  • ицмп

екпр је померање бајта. Ово треба укључити, али може се дати као 0 како би се вредност преузела од почетка објекта.

величина је опционалан и представља број бајтова у опцији. Задана вредност је 1, али може бити и 2, 3 или 4.

Примери употребе:

етер [0] & 1! = 0 важи за сав мултицаст саобраћај.

ип [0] & 0кф! = 5 важи за све ИП пакете са опцијама.

ип [6: 2] & 0к1ффф = 0 важи за нефрагментиране датаграме и фрагментирану нулу фрагментираних датаграма.

Примери Тцпдумп-а

У свим овим случајевима, резултати наредбе ће се приказати на екрану, осим ако није укључена опција која се односи на датотеку или уколико се наредба не покрене са преусмеравањем излазног стајања или слањем у датотеку.

Приказ пакета који путују од или до рачунара који су идентификовани као лаб1:

тцпдумп хост лаб1

Прикажите све ИП пакете који путују између лаб1 и било којег чвора осим пријема:

тцпдумп ип хост лаб1, а не пријем

Прикажите сав фтп саобраћај преко интернет гатеваи-а:

тцпдумп 'гатеваи стик и (порт фтп или фтп-дата)'

Прикажите СИН и ФИН пакете сваког ТЦП разговора који укључује не-локални хост:

тцпдумп 'тцп [тцпфлагс] & (тцп-син | тцп-фин)! = 0, а не срц и дст нет лоцалнет '

Прикажите ИП емитоване или мултицаст пакете који нису послати путем Етхернет емитовања или мултицаст:

тцпдумп 'етер [0] & 1 = 0 и ип [16] >= 224 '

Тцпдумп излазни формат

Формат записа који се користи за писање пакета у датотеке постао је стандард који су усвојили многи новији снајперски пакети и анализатори саобраћаја.

Стандард није једноставан и прилагођава се сваком протоколу. Међутим, оне апликације које су усвојиле формат такође узимају у обзир ове варијације. Формат се зове пцап, који је назив процеса хватања пакета који користи тцпдумп. Датотеке у овом формату обично имају .пцап продужетак.

Тцпдумп за Виндовс

Постоји прилагођавање тцпдумп-а који се изводи на Виндовс-у. Ово се зове ВинДумп и ослања се на ВинПцап за хватање пакета на исти начин на који тцпдумп користи пцап функцију либпцап. ВинПцап је у ствари у власништву компаније Ривербед Тецхнологи. Та иста компанија је главни оснивач Виресхарка, који је вероватно најпознатији и најкоришћенији пакетни снајфер на свету. Постоји бежична верзија ВинПцап-а, која се зове АирПцап. Можете бесплатно преузети ВинДумп, ВинПцап и АирПцап са веб локације ВинПцап.

Коришћење њушка за пакет

Услужни програм тцпдумп командне линије је користан за оне који су упознати са Уник и Линук оперативним системима и уживајте у писању скрипти шкољки. Они који немају толико искуства у састављању наредби са регуларним изразима у командној линији, тешко ће користити овај програм.

Имате и друге могућности јер је на располагању много снајпера за пакете, попут Виресхарк-а, који је горе поменут. Више о алтернативама тцпдумп можете да сазнате у овом прегледу пакетских снафферса.

Имате ли омиљени њушкало за пакет? Да ли сте љубитељ тцпдумп или више волите више прилагођене алтернативе? Оставите поруку у Коментари одељак испод и поделите своја искуства.

Слика: тцпдумп снимање пакета од стране Линук-а Снимке екрана путем Флицкр-а. Лиценцирано под ЦЦ БИ 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

23 − = 20

Adblock
detector