Hoe tcpdump te gebruiken om ons netwerk te bewaken

Hoe tcpdump te gebruiken om ons netwerk te bewaken
Inhoudsopgave

In deze tutorial gaan we zien hoe te werken met tcpdump. Het is een opensource-tool voor de opdrachtregel, het wordt gebruikt om monitor het netwerk, kunnen we het begrijpen als een analysator van pakketten die door het netwerk gaan waar u het programma uitvoert. Het wordt gebruikt in Unix-omgevingen, hoewel er een variant voor Windows is genaamd WinDump. Een tutorial over EtherApe is wellicht interessant voor u, een hulpmiddel om de status van ons netwerk grafisch te bekijken.

In de zelfstudie zullen we werken vanuit Linux, met name in Ubuntu 16.04, om de tool te laten werken, moeten we deze met hoge privileges uitvoeren, behalve bepaalde opties, die nodig zullen zijn.

We kunnen gebruiken tcpdump voor verschillende taken, zoals het debuggen van onze netwerktoepassingen, het lezen van de gegevens die tussen gebruikers worden verzonden via het netwerk waarin we ons bevinden, enz. We gaan de syntaxis hieronder plaatsen: 

 tcpdump [-aAbdDefhHIJKlLnNOpqRStuUvxX #] [-B size] [-c count] [-C file_size] [-E something: secret] [-F file] [-G seconds] [-i interface] [-j tstamp type] [- M geheim] [--nummer] [-Q in | uit | inout] [-r bestand] [-s snaplen] [--tijdstempel-precisie precisie] [--onmiddellijke-modus] [-T type] [ --version] [-V bestand] [-w bestand] [-W bestandstelling] [-y datalinktype] [-z commando] [-Z gebruiker] [expressie]
Deze tool heeft een groot aantal parameters die we kunnen gebruiken, hier zullen we er enkele zien.

Enkele tcpdump-parameters

  • -TOT: Print de pakketten in ASCII-code.
  • -x: Druk de pakketten af ​​in hexadecimaal.
  • -NS: Toont beschikbare interfaces.
  • -C nummer: Het zal het programma sluiten wanneer het aangegeven aantal pakketten is vastgelegd.
  • -I interface: Het programma luistert op de opgegeven interface.
  • -I: Zet de interface in de monitormodus.
  • -P: Het zet de interface niet in promiscue modus.
  • -f bestand: De uitvoer wordt opgeslagen in het bestand dat we aangeven.
  • -H: Geeft hulp weer voor het gebruik ervan.

Als we alle beschikbare parameters willen zien, gebruiken we in Linux: 

 man tcpdump
Het gebruik van deze opdracht is completer dan de hulp die wordt geboden door de parameter -H of --helpen, die ons alleen het volgende zou laten zien:

We gaan 10 voorbeelden zien om aan de slag te gaan in deze krachtige tool.

OpmerkingIn bijna alle voorbeelden zul je zien dat sudo vóór tcpdump wordt gebruikt, zoals eerder gezegd, het is noodzakelijk om het met hoge privileges te starten, als je de terminal als root gebruikt, is het niet nodig om iets voor tcpdump te plaatsen. Als u het vastleggen wilt stoppen, kunt u de toetsen combineren:

CTRL + C

voorbeeld 1
Het eenvoudigste voorbeeld met behulp van de parameter -TOT. Hiervoor voeren wij uit: 

 tcpdump -A

Laten we een voorbeeld bekijken met wat meer inhoud.

Voorbeeld 2
Nu gaan we filteren op host en voegen we de uitgebreide modus toe met de parameter -v: 

 sudo tcpdump host 192.168.66.130 -v
Hieronder is een afbeelding met de bovenstaande opdracht:

Voor de afbeelding heb ik een ping gemaakt vanaf een andere machine, zodat we ICMP kunnen zien. Laten we verder gaan met het derde voorbeeld.

Voorbeeld 3
In dit voorbeeld gaan we kijken naar de pakketten van dezelfde host, alleen deze keer de pakketten die met poort 80 te maken hebben: 

 sudo tcpdump host 192.168.66.130 en poort 80 -v
Als we naar de opname kijken, zien we iets dat lijkt op het volgende:

U kunt zien hoe gemakkelijk deze tool te hanteren is, laten we verder gaan.

Voorbeeld 4
We gaan voorbeeld 3 gebruiken en we gaan het aanpassen, we willen de pakketten filteren met oorsprong 192.168.66.130 die naar poort 80 gaan: 

 sudo tcpdump src host 192.168.66.130 en dst-poort 80 -v
We zien dat we de voorwaardelijke hebben gebruikt en, zodat aan de twee voorwaarden wordt voldaan, kunnen we ook of, als we willen dat er maar aan één wordt voldaan, gebruiken. Als we naar de screenshots kijken, zien we een POST-verzoek.

We gaan verder met het vijfde voorbeeld.

Voorbeeld 5
We gaan pakketten vastleggen die een interface aangeven: 

 sudo tcpdump -i ens33
OpmerkingJe interface is waarschijnlijk eth0, je kunt het zien met het ifconfig commando, maar ook met de -D parameter van tcpdump zal het voor ons werken, we zullen het zien in het volgende voorbeeld.

Hieronder zie je een afbeelding van de opname.

Laten we gaan voor de volgende.

Voorbeeld 6
In dit voorbeeld gaan we alleen de beschikbare interfaces tonen, hiervoor voeren we uit: 

 tcpdump -D
In dit geval is het niet nodig om root te zijn.

Laten we doorgaan.

Voorbeeld 7
We willen 3 pakketten vastleggen die bestemd zijn voor poort 1987 en wanneer dit gebeurt, stop het programma: 

 sudo tcpdump -c 3 dst poort 1987
We kunnen in de volgende afbeelding zien dat er slechts 3 pakketten worden vastgelegd:

Laten we nog een paar voorbeelden bekijken.

Voorbeeld 8
Wanneer we geïnteresseerd zijn in het verkrijgen van alle tcp-verkeerspakketten die niet naar een bepaalde poort gaan, bijvoorbeeld poort 80, zullen we het volgende uitvoeren: 

 sudo tcpdump niet poort 80 en tcp
De uitvoer is vergelijkbaar, dus in dit voorbeeld is er geen opname ingesteld. Laten we gaan voor het voorlaatste voorbeeld.

Voorbeeld 9
We gaan 2 pakketten van een specifieke interface vastleggen en we zullen ze in hexadecimaal formaat tonen, hiervoor moeten we uitvoeren: 

 sudo tcpdump -i ens33 -x -c 2
Hieronder zie je de uitvoer:

Laten we verder gaan met het laatste voorbeeld van de tutorial.

Voorbeeld 10
In dit voorbeeld gaan we de opname opslaan in een bestand om er later naar te kijken. Capture is beperkt tot 3 pakketten en er is een interface gespecificeerd, dus we zullen het volgende uitvoeren: 

 sudo tcpdump -w test.pcap -i ens33 -c 3
Laten we een screenshot zien:

Als we dat bestand nu willen lezen, moeten we uitvoeren: 

 tcpdump -r test.pcap
We kunnen het zien in de volgende afbeelding:

De tutorial over tcpdump is zo ver gekomen, het heeft veel mogelijkheden en veel opties, dus om te leren hoe je deze tool goed kunt gebruiken, kun je het beste oefenen en alle functies beetje bij beetje ontdekken. Mogelijk bent u ook geïnteresseerd in het lezen van iets over de netcat-tool, dus hier is een link naar een tutorial met voorbeelden:

Hoe gebruik je netcat

Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een ​​positief punt te geven

U zal helpen de ontwikkeling van de site, het delen van de pagina met je vrienden

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
▷ Achtergrond Photoshop CC 2021 en CC2021-2022 verwijderen of wijzigen
2
post-title
▷ Linkvoorbeeldsignaal in- of uitschakelen
3
post-title
▷ Update PS5-systeemsoftware met Veilige modus
4
post-title
▷ Hoe Samsung Galaxy S21, S21 Plus en S21 Ultra uit te schakelen, opnieuw op te starten of geforceerd opnieuw op te starten
5
post-title
Filtert op routes met Laravel

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -