ضبط از راه دور با Wireshark و tcpdump را اجرا می کنید

ضبط از راه دور Wireshark tcpdump

Wireshark ابزاری قدرتمند است ، اما محدودیت های آن را دارد. مگر اینکه تجهیزات شبکه حرفه ای داشته باشید ، تجزیه و تحلیل ترافیک که رایانه شما را درگیر نمی کند دشوار است. گاهی اوقات ساده ترین راه حل استفاده از tcpdump برای گرفتن ترافیک روی سرور از راه دور است و سپس Wireshark را اجرا کنید تا نگاهی به آن بیندازید.

Wireshark و tcpdump چیست?

Wireshark یک آنالایزر پروتکل است ، یک قطعه نرم افزاری است که داده های موجود در شبکه شما را به روشی قابل خواندن و ضبط ارائه می دهد. با استفاده از Wireshark ، می توانید ورودی و خروجی خدمات شبکه و برنامه های وب را تجزیه و تحلیل کنید.

در حالی که Wireshark وظیفه بسیار خوبی برای گرفتن هر بسته ای که از آن عبور می کند انجام می دهد ، در بعضی موارد شما نیاز به تجزیه و تحلیل یک جلسه از یک سرور از راه دور دارید. مگر اینکه تجهیزات شبکه خاصی داشته باشید ، این می تواند مشکل باشد. بعضی اوقات راحت تر گرفتن ترافیک روی سرور راه دور آسان تر است ، سپس آن را در دسک تاپ خود آنالیز کنید.

tcpdump یک آنالایزر بسته خط فرمان است. استفاده از Wireshark کار ساده ای نیست ، اما به همان اندازه قادر به ضبط ترافیک است. از آنجا که tcpdump در حالت ترمینال اجرا می شود ، می توان آن را از طریق یک جلسه SSH راه اندازی کرد. با گزینه های خط فرمان مناسب ، می توانید یک جلسه tcpdump را صادر کنید که با Wireshark سازگار باشد.

SolarWinds Wireshark را به سطح بعدی می برد

Wireshark و tcpdump ابزارهای قدرتمندی هستند ، اما نقاط ضعفی دارند. به طور خاص ، نشان دادن مشکلات مربوط به تأخیر در شبکه شما با استفاده از Wireshark خارج از جعبه بسیار دشوار است. به عنوان مثال ، شما ممکن است از زمان پینگ زیاد در LAN خود رنج ببرید ، و Wireshark کارهای زیادی برای کمک به شما نمی تواند انجام دهد.

نمایشگر زمان پاسخگویی SolarWinds برای Wireshark (ابزار رایگان)

در آن حالت ، من توصیه می کنم نمایشگر زمان پاسخ SolarWinds برای Wireshark. این افزونه Wireshark را گسترش می دهد و شما را قادر می سازد علت بروز پینگ پینگ و سرعت کلی کند شبکه را تشخیص دهید..

نمایشگر زمان پاسخ SolarWinds برای Wireshark

نمایشگر زمان پاسخ SolarWinds برای WiresharkDownload 100٪ ابزار رایگان

مانیتور عملکرد شبکه SolarWinds (آزمایشی رایگان)

SolarWinds همچنین یک راه حل همه کاره عالی برای شبکه شما ایجاد می کند. آن را به نام مانیتور عملکرد شبکه (NPM) ، و مدیریت شبکه بسیار ساده تر می کند. به عنوان مثال ، با استفاده از مانیتور عملکرد شبکه SolarWinds ، می توانید LAN بی سیم خود را کنترل و مدیریت کنید ، یک پایه عملکرد ایجاد کنید و هشدارهای امنیتی در زمان واقعی دریافت کنید.

تصویر مانیتور عملکرد شبکه SolarWinds

مانیتور عملکرد شبکه SolarWinds به مدت 30 روز در دسترس است تا بدون خطر را امتحان کنید. ثبت نام در اینجا به صورت رایگان.

SolarWinds Monitor Network MonitorDownload آزمایشی 30 روزه رایگان

قبل از اینکه شروع کنی

برای دنبال کردن دستورالعمل های این راهنما ، موارد زیر را لازم خواهید داشت:

  • یک کامپیوتر از راه دور با یک سرور SSH و tcpdump نصب شده است
  • دسترسی ریشه
  • خدماتی که باعث ایجاد ترافیک شبکه می شوند ، مانند Apache یا node.js که روی رایانه راه دور اجرا می شوند
  • یک کامپیوتر محلی با مشتری SSH و Wireshark نصب شده است

هدف استفاده از tcpdump در رایانه از راه دور ، از طریق SSH ، برای ضبط ترافیک شبکه است. سپس ترافیک ضبط شده را می توان برای تجزیه و تحلیل با Wireshark به رایانه محلی کپی کرد.

این کار زمانی مفید است که شما به کامپیوتر از راه دور دسترسی فیزیکی ندارید یا آن را "بی هدف" ، یعنی بدون صفحه کلید و مانیتور اجرا می کنید..

گرفتن بسته ها با tcpdump

برای گرفتن ترافیک با tcpdump ، باید از طریق SSH به رایانه از راه دور متصل شوید. شما همچنین به دسترسی ریشه نیاز خواهید داشت ، در غیر این صورت tcpdump قادر نخواهد بود ترافیک را ضبط کند و خطایی را بیان می کنید شما مجاز به ضبط در آن دستگاه نیستید.

tcpdump - ضبط 1

پس از اتصال ، دستور زیر را اجرا کنید تا ترافیک را با tcpdump شروع کنید:

sudo tcpdump -s 0 -i eth0 -w tcpdump.pcap

گزینه های خط فرمان که من برای ضبط این جلسه از آنها استفاده کردم در زیر توضیح داده خواهد شد. به طور خلاصه ، دستور فوق کلیه ترافیک های موجود در دستگاه اترنت را ضبط کرده و آن را به پرونده ای بنام tcpdump.pcap با فرمی سازگار با Wireshark می نویسد..

tcpdump - ضبط 2

پس از اتمام ضبط ترافیک ، جلسه tcpdump را با آن پایان دهید Ctrl + C. یک خوانش کوتاه را مشاهده خواهید کرد که اطلاعاتی در مورد جلسه ضبط را نشان می دهد.

tcpdump - ضبط 3

قبل از اینکه بتوانید ترافیک را از رایانه از راه دور خود به محلی برای کپی آنالیز با Wireshark کپی کنید ، باید مجوزها را تغییر دهید. به طور پیش فرض ، جلسات tcpdump که توسط root استفاده شده است ، نمی توان کپی کرد. از این دستور استفاده کنید:

sudo chmod 644 tcpdump.pcap

به شما امکان می دهد فایل را در رایانه محلی خود با استفاده از scp ، همانطور که در مرحله بعدی مشخص شده است ، کپی کنید.

کپی کردن یک جلسه tcpdump برای تجزیه و تحلیل

هنگامی که جلسه ضبط با tcpdump را تمام کردید ، با مشکل روبرو خواهید شد. چگونه می توانید آن را در دستگاه در حال اجرا Wireshark برای تجزیه و تحلیل کپی کنید؟ راه های زیادی وجود دارد ، اما فکر می کنم ساده ترین کار با scp است. از آنجا که قبلاً بسته هایی را با استفاده از SSH در دستگاه بی هدف ضبط کرده اید ، همه چیزهایی که برای استفاده از scp نیاز دارید قبلاً نصب شده و در حال اجراست.

tcpdump - ضبط 4

کاربران ویندوز باید pscp را بارگیری کنند ، سپس پرونده را در C: \ Windows \ System32 کپی کنند. بیشتر کاربران مک و لینوکس از قبل همه چیز مورد نیاز خود را دارند.

tcpdump - ضبط 5

در Mac یا Linux ، یک پنجره ترمینال را باز کرده و دستور زیر را برای کپی کردن پرونده ضبط جلسه اجرا کنید:

scp [email protected]: / مسیر / به / پرونده ./

یا در ویندوز ، PowerShell را باز کرده و این دستور را اجرا کنید:

pscp.exe [email protected]: / path / to / پرونده. \

اطلاعات خود را در صورت لزوم جایگزین کنید. از شما خواسته می شود رمز عبور خود را وارد کنید. دستوراتی که من استفاده کردم در تصویر بالا برای مرجع هستند.

tcpdump - ضبط 6

بررسی کنید که پرونده کپی شده همانطور که انتظار می رود ، و شما آماده هستید تا جلسه tcpdump را با Wireshark تجزیه و تحلیل کنید.

تجزیه و تحلیل یک جلسه tcpdump دستگیر شده با Wireshark

تجزیه و تحلیل همان کاری را انجام می دهد که با هر نوع ضبط سنتی Wireshark انجام می شود. تنها چیزی که شما باید بدانید نحوه وارد کردن پرونده است.

tcpdump - ضبط 7

Wireshark را شروع کنید ، سپس جلسه tcpdump ضبط شده را با استفاده از وارد کنید فایل -> باز کن و پرونده خود را مرور کنید. شما همچنین می توانید دوبار کلیک کنید پرونده ضبط برای باز کردن آن در Wireshark, تا زمانی که پسوند پرونده * .pcap را داشته باشد. اگر از آن استفاده کرده اید -W هنگامی که tcpdump را اجرا کردید ، فایل به طور عادی بارگیری می شود و ترافیک را نشان می دهد.

tcpdump - ضبط 7

در مورد من ، من یک سرور Apache را روی میزبان از راه دور اجرا می کنم ، و علاقه مند هستم که داده های HTTP را جستجو کنم. فیلتر مناسب Wireshark را تنظیم کردم ، و می توانم طبق معمول قابهای ضبط شده را مرور کنم.

به عنوان یک آزمایش ، من یک عنصر را در کد HTML تعبیه کرده ام که در صفحه نمایش داده نمی شود. باید بتوانم آن را در جریان داده قرار دهم و آن را با Wireshark مشاهده کنم.

tcpdump - ضبط 8

همانطور که مشاهده می کنید ، Wireshark قادر است هر فریم را تجزیه و تحلیل کرده و داده ها را به خوبی نمایش دهد. عنصری که من پنهان کرده ام در مثال بالا نشان داده شده است. روند استفاده از tcpdump کمی بیشتر درگیر می شود ، اما همه چیز در Wireshark طبق معمول کار می کند.

با استفاده از گزینه های خط فرمان برای tcpdump

در بیشتر مواقع ، وقتی tcpdump را راه اندازی می کنید ، می توانید کنترل کنید که چگونه بسته ها را ضبط کنید و جلسه را در چه مکانی ذخیره کنید. با استفاده از گزینه های خط فرمان می توانید مواردی مانند آن را کنترل کنید. اینها برخی از مفیدترین گزینه های خط فرمان برای tcpdump هستند.

tcpdump -w

-W گزینه خط فرمان ، خروجی سازگار Wireshark را فعال می کند. طول می کشد یک متغیر واحد ، که نام پرونده خروجی است. سیاهههای مربوط به ضبط شده با استفاده از این گزینه ذخیره شده در خارج از Wireshark قابل خواندن نیستند ، زیرا آنها به جای ASCII در باینری ذخیره می شوند..

tcpdump -C

گزینه خط فرمان شما را قادر می سازد حداکثر اندازه پرونده را در بایت تنظیم کنید. این گزینه فقط در کنار هم کار می کند -W. به عنوان مثال ، دستور tcpdump -C 1048576 -w گرفتن.pcap حداکثر اندازه ضبط از خروجی 1MB (1،048،576 بایت) را برای پرونده مشخص می کند capt.pcap.

اگر جلسه مقدار بیشتری از خروجی ایجاد کند ، پرونده های جدیدی برای ذخیره آن ایجاد می کند. بنابراین ضبط 3 مگابایت تولید می کند. capt.pcap, capt1.pcap, و capt2.pcap هر یک با اندازه 1MB.

tcpdump -s

-s گزینه خط فرمان حداکثر طول هر بسته را با بایت تعیین می کند و در صورت دستیابی به حداکثر ، بسته را کوتاه می کند. فرمان tcpdump -s 0 یک طول نامحدود را برای اطمینان از ضبط کل بسته تنظیم می کند.

tcpdump -i

-من گزینه خط فرمان مشخص می کند که کدام دستگاه شبکه را می خواهید tcpdump برای مانیتورینگ کنید. اگر هیچ رابط مشخص نشده باشد ، آن را به صورت کمترین شماره رابط که در حال حاضر اجرا می شود پیش فرض می کند.

tcpdump-list-interfaces

گزینه خط فرمان tcpdump-list-interfaces لیستی از تمام رابط هایی که برای اتصال tcpdump در دسترس است چاپ خواهد کرد. توجه داشته باشید که این جلسه ضبط را شروع نمی کند ، اما لیستی از رابط های مورد استفاده برای شما را به شما می دهد -من گزینه بالا.

tcpdump -c

گزینه خط فرمان به tcpdump می گوید که پس از گرفتن تعداد مشخصی از بسته ها ، از جلسه خارج می شود.

tcpdump -n

گزینه خط فرمان tcpdump را آموزش می دهد نه برای حل و فصل آدرس های IP برای نام های میزبان. این کار در هنگام عیب یابی وب سایت ها در پشت سرور متعادل کننده بار ، مفید است و در موارد معدود ، هنگام استفاده از نام میزبان ، نتایج مبهم به همراه خواهد داشت.

tcpdump -v | -vv | -vvv

سه گزینه خط فرمان, -v, -VV, و -vvv این امکان را به شما می دهد تا حدت جلسه ضبط خود را افزایش دهید. -v مقادیر TTL را برای هر بسته به همراه اطلاعات ToS ذخیره می کند. -VV TTL و ToS را به همراه اطلاعات اضافی در بسته های NFS تولید می کند. و -vvv همه گزینه های دو گزینه اول را انجام می دهد ، به همراه اطلاعات اضافی از جلسات telnet.

tcpdump -F

گزینه خط فرمان به tcpdump دستور می دهد از فیلترهای ضبط از پرونده مشخص شده استفاده کند. اطلاعات بیشتر در مورد نوشتن پرونده ضبط را می توان در بخش بعدی یافت.

استفاده از فیلترهای ضبط برای tcpdump

گرفتن فیلترها به شما امکان می دهد داده هایی که tcpdump را در یک جلسه ذخیره می کنند را ببندید. آنها یک روش مفید برای ساده تر کردن تجزیه و تحلیل و کوچک نگه داشتن پرونده ها هستند. در اینجا برخی از مفیدترین فیلترهای ضبط برای tcpdump آورده شده است.

میزبان

این فیلتر مشخص می کند که فقط ترافیک به سمت و از میزبان هدف باید اسیر شود. یک آدرس IP یا نام میزبان به عنوان یک آرگومان طول می کشد.

خالص

فیلتر خالص به رایانه شما می گوید که فقط ترافیک را در یک زیر شبکه مشخص ضبط می کند و آدرس IP را به عنوان یک آرگومان می گیرد. به عنوان مثال ، 192.168.1.0/24 مشخص می کند که ترافیک از طریق تمام میزبان ها در زیر شبکه ضبط می شود. توجه داشته باشید که یک ماسک زیر شبکه در نماد اسلش مورد نیاز است.

میزبان dst

شبیه به میزبان, این فیلتر ضبط مشخص می کند که فقط ترافیک با مقصد میزبان داده شده ضبط می شود. همچنین می توان از آن استفاده کرد خالص.

میزبان src

مانند بالا ، اما این فیلتر فقط ترافیک ناشی از میزبان یا آدرس IP مشخص شده را ضبط می کند. همچنین می توان از آن استفاده کرد خالص.

بندر

این فیلتر به tcpdump می گوید تا بتوانید از تعداد درگاه معین ترافیک به و از آنجا استفاده کنید. برای مثال, بندر 443 ترافیک TLS را ضبط می کند.

پرتره

مشابه فیلتر پورت ، portrange طیف وسیعی از درگاههایی را که ترافیک در آن ضبط می شود ، ایجاد می کند. برای استفاده از فیلتر portrange ، پورت شروع و پورت انتهایی را که با یک تکه جدا می شود ، مشخص کنید. مثلا, تصویر 21-23.

دروازه

فیلتر دروازه مشخص می کند که رایانه شما فقط باید ترافیکی را که از یک نام میزبان معین به عنوان دروازه استفاده می شود ، ضبط کند. نام میزبان باید در آن یافت شود / و غیره / میزبان.

پخش

فیلتر پخش مشخص می کند که tcpdump فقط باید ترافیکی را که برای همه میزبان ها از زیر شبکه پخش می شود ، ضبط کند.

IP multicast

این فیلتر به tcpdump می گوید فقط ترافیک چند مرحله ای را در زیر شبکه دستگاه میزبان ثبت می کند.

و / یا اپراتورها

فیلترها را می توان با استفاده از زنجیر زنجیر کرد و, یا, یا نه اپراتورها به عنوان مثال ، برای گرفتن همه ترافیک وب در میزبان معین ، می توانید از فیلتر استفاده کنید پورت 80 یا بندر 443. یا می توانید با استفاده از فیلتر تمام ترافیک ها را بر روی زیر شبکه های خاص به جز بسته های پخش شده ضبط کنید net 192.168.1.0/24 و پخش نشود.

استفاده از اپراتورهای فیلتر در عمل بسیار معمول است زیرا آنها یک لایه اضافی از گرانول را به عکسهای شما ارائه می دهند. شما می توانید دقیقاً ترافیک مورد نیاز خود را ضبط کنید ، بدون آنکه تعداد زیادی چت شبکه اضافه کنید.

عبارات پیچیده با اپراتورهای متعدد

حتی در اطراف چندین عملیات در آپوستروپس و پرانتزهای مجزا ، عبارات پیچیده تری نیز ایجاد می شود. به عنوان مثال ، شما می توانید تمام ترافیک نامه ها ، از جمله SMTP ، IMAP ، IMAP را از طریق TLS ، POP3 و POP3 از طریق TLS ، در میزبان ها و زیر شبکه های مختلف ، کنترل کنید ، با استفاده از یک فرمان مانند این:

tcpdump '(میزبان 10.0.0.1 و خالص 192.168.1.0/24) و ((پورت 25 یا پورت 143 یا بندر 443 یا بندر 993 یا پورت 995)) "

عبارات پیچیده با چندین اپراتور می تواند بسیار مفید باشد ، اما آنها به طور معمول در یک فایل فیلتر برای استفاده مجدد ذخیره می شوند ، زیرا یک تایپ واحد باعث می شود که ضبط انجام نشود. غالباً ، آنها باید قبل از موعد آماده شوند و اشکال زدایی شوند.

با استفاده از فایلهای فیلتر برای tcpdump

فیلترهای بالا با راه اندازی tcpdump می توانند در خط فرمان اجرا شوند ، اما اغلب ساخت یک فیلتر فیلتر مفید است. از آنجا که قابل استفاده مجدد است ، یک فایل فیلتر باعث می شود تولید تنظیمات فیلتر بین عکس ها آسان تر شود. در اینجا مراحل نوشتن و استفاده از یک فایل فیلتر آورده شده است.

فایل فیلتر را بنویسید

فایلهای فیلتر دقیقاً از همان علامت خط فرمان استفاده می کنند. آنها به شخصیت های خاص یا شماره جادویی در بالای پرونده احتیاج ندارند.

tcpdump - ضبط 9

به عنوان مثال ، در اینجا یک پرونده فیلتر من نوشتم که تمام ترافیک وب را از سرور Apache من به یک میزبان داده شده ضبط می کند. در این حالت ، Chromebook که روی آن می نویسم.

تا زمانی که پرونده توسط کاربر در حال اجرا tcpdump قابل خواندن باشد ، این برنامه تلاش خواهد کرد تا همه چیز را در پرونده فیلتر تجزیه کرده و از آن به عنوان یک فیلتر معتبر استفاده کند.. وقتی یک از فیلتر فیلتر به همراه فیلتر خط فرمان استفاده می شود ، تمام فیلترهای خط فرمان نادیده گرفته می شوند.

tcpdump - ضبط 10

دستور tcpdump را برای استفاده از هر پرونده فیلتر داده شده با استفاده از گزینه خط فرمان و به دنبال آن مسیر فایل قرار می گیرد. در مثال بالا ، فایل فیلتر در همان دایرکتوری قرار دارد که من tcpdump را در آن اجرا می کنم.

tcpdump - ضبط 11

در اینجا خروجی خام از جلسه فیلتر شده است. می بینید که تنها بسته هایی که وارد سیستم شده اند از مبدأ هستند پورت 80 یا 443, و در 192.168.1.181 از میزبان خارج از کشور هستید.

tcpdump - ضبط 12

هنگامی که دیدید فیلتر شما طبق برنامه در حال کار است ، یک جلسه را برای استفاده با Wireshark با استفاده از دستور مشابه این مورد ، ضبط کنید:

sudo tcpdump -i eth0 -s 0 -w wireshark.pcap -F فیلتر-فایل

Wireshark و tcpdump

مگر اینکه سوئیچ مدیریت شده را با درگاه مدیریت اجرا کنید ، دیر یا زود نیاز به ضبط ترافیک روی یک سرور از راه دور دارید. وقتی Wireshark به تنهایی کار را انجام نمی دهد ، Wireshark با tcpdump یک انتخاب محبوب است. این دو با هم خوب کار می کنند و با چند گزینه خط فرمان ساده ، tcpdump جلسات ضبط را صادر می کند که به راحتی در Wireshark قابل تجزیه و تحلیل است..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

8 + 1 =

Adblock
detector