TCPDump -Befehlsbeispiele und Tutorial
Der „TCPDump“ ist ein Paketanalysator und wird zur Diagnose und Analyse von Netzwerkproblemen verwendet. Es erfasst den Netzwerkverkehr durch Ihr Gerät und schaut darüber nach. Das Tool „TCPDump“ ist ein leistungsstarkes Tool zur Behebung von Netzwerkproblemen. Es verfügt über viele Optionen, was es zu einem vielseitigen Befehlszeilen-Dienstprogramm macht, um Netzwerkprobleme zu beheben.
Dieser Beitrag ist eine detaillierte Anleitung zum Dienstprogramm „TCPDump“, das seine Installation, gemeinsame Funktionen und Verwendung mit unterschiedlichen Optionen enthält. Beginnen wir mit der Installation:
So installieren Sie "TCPDump":
In vielen Verteilungen kommt der „TCPDUMP“ aus dem Kontrollkästchen und um es zu überprüfen, verwenden Sie:
$ welches tcpdump
Wenn es nicht in Ihrer Verteilung zu finden ist, installieren Sie es mit:
$ sudo APT Installieren Sie TCPDump
Der obige Befehl wird für debianbasierte Verteilungen wie Ubuntu und Linuxmint verwendet. Für "Redhat" und "CentOS" verwenden Sie:
$ sudo dnf Installieren Sie TCPDump
So fangen Sie Pakete mit TCPDump:
Verschiedene Schnittstellen können zum Erfassen von Paketen verwendet werden. Um eine Liste von Schnittstellen zu erhalten, verwenden Sie:
$ sudo tcpdump -d
Oder verwenden Sie einfach "Any" mit dem Befehl "tcpdump", um Pakete von der aktiven Schnittstelle zu erhalten. Um mit dem Paket zu beginnen, die Verwendung von Paket erfassen:
$ sudo tcpdump -übereinstimmen alle
Der obige Befehl besteht darin, Pakete von allen aktiven Schnittstellen zu verfolgen. Die Pakete werden kontinuierlich gepackt, bis der Benutzer eine Unterbrechung erhält (Strg-c).
Wir können auch die Anzahl der Pakete einschränken, die mit der Flag „-C“ erfasst werden sollen, die das "Zählen" bedeutet.Um 3 Pakete zu erfassen, verwenden Sie:
$ sudo tcpdump -i an jedem -c3
Der obige Befehl ist nützlich, um ein bestimmtes Paket zu filtern. Die Fehlerbehebung bei den Konnektivitätsproblemen erfordert außerdem, dass nur wenige Erstpakete erfasst werden müssen.
Der "tcpdumpDer Befehl erfasst Pakete mit IP- und Portnamen standardmäßig, aber zum Aufräumen, das Chaos und erleichtert die Ausgabe. Die Namen können mit "mit" deaktiviert werden "deaktiviert werden“-N" Und "-nn”Für die Portoption:
$ sudo tcpdump -i an jedem -c3 -nn
Wie in der obigen Ausgabe gezeigt, wurden die IP- und Portnamen herausgenommen.
So verstehen Sie Informationen über ein erfasstes Paket:
Um die verschiedenen Felder eines erfassten Pakets kennenzulernen, nehmen wir ein Beispiel für ein TCP -Paket:
Ein Paket kann verschiedene Felder haben, aber die allgemeinen werden oben angezeigt. Das erste Feld, “09:48:18.960683,”Repräsentiert eine Zeit, in der das Paket empfangen wird. Als nächstes kommen IP -Adressen; die erste IP [216.58.209.130] ist die Quell -IP und die zweite IP [10.0.2.15.55812] ist das Ziel IP. Dann bekommst du die Flagge [P.]; Eine Liste typischer Flags finden Sie unten:
| Flagge | Typ | Beschreibung |
| “.” | Ack | Bedeutet Anerkennung |
| S | Syn | Flagge für den Start einer Verbindung |
| F | FLOSSE | Flagge für eine geschlossene Verbindung |
| P | DRÜCKEN | Gibt den Datenschub des Absenders an |
| R | RST | Verbindung zurücksetzen |
Und als nächstes kommt die Sequenznummer “SEQ 185: 255”. Der Client und der Server verwenden beide die 32-Bit-Sequenznummer, um Daten zu verwalten und zu überwachen.
Der "ackIst eine Flagge; Wenn es 1 ist, bedeutet dies, dass die Bestätigungsnummer gültig ist und der Empfänger das nächste Byte erwartet.
Die Fensternummer gibt die Puffergröße an. “Gewinnen Sie 65535”Bedeutet die Datenmenge, die gepuffert werden kann.
Und am Ende kommt die Länge [70] des Pakets in Bytes, was ein Unterschied von “ist185: 255”.
Filterpakete zur Behebung der Netzwerkprobleme:
Das Tool „TCPDump“ erfasst Hunderte von Paketen, und die meisten von ihnen sind weniger wichtig, was es viel komplex macht, die gewünschten Informationen für die Fehlerbehebung zu erhalten. In diesem Fall wird die Filterung ihre Rolle spielen. Wenn Sie beispielsweise nicht an einem bestimmten Datenverkehr interessiert sind, können Sie sie beispielsweise mit „TCPDump“ filtern, die mit Filterpaketen entsprechend den IP -Adressen, Ports und Protokollen ausgestattet sind.
So erfassen Sie ein Paket mit Hostname mit dem Befehl TCPDump:
Verwenden Sie: Um das Paket nur von einem bestimmten Host zu erhalten, verwenden Sie:
$ sudo tcpdump -i an jedem -c4 Host 10.0.2.15
Wenn Sie nur einen Einweg-Verkehr bekommen möchten, dann verwenden Sie “src" Und "dst"Optionen anstelle von"Gastgeber.”
So erfassen Sie ein Paket mit der Portnummer mit TCPDump -Befehl:
Verwenden Sie, um Pakete mit der Portnummer zu filtern:
$ sudo tcpdump -i an jedem -c3 -nn Port 443
Das "443" ist die HTTPS -Portnummer.
So erfassen Sie ein Paket mit dem Protokoll mit dem Befehl tcpdump:
Mit dem Befehl „tcpdump“ können Sie Pakete gemäß jedem Protokoll wie UDP, ICMP, ARP usw. filtern. Geben Sie einfach den Protokollnamen ein:
$ sudo tcpdump -i an jedem -c6 udp
Die obigen Befehle erfassen nur Pakete, die zum „UDP“ -Protokoll gehören.
So kombinieren Sie Filteroptionen mit logischen Operatoren:
Verschiedene Filteroptionen können mit logischen Operatoren wie „und/oder“ kombiniert werden:
$ sudo tcpdump -i an jedem -c6 -nn Host 10.0.2.15 und Port 443
So speichern Sie erfasste Daten:
Die gepackten Daten können in einer Datei gespeichert werden, um sie später zu überwachen, und für diese Option "-W" wird verwendet, und "W" bedeutet "Write":
$ sudo tcpdump -i an jedem -c5 -W -Paketdata.PCAP
Die Erweiterung der Datei wäre “.PCAP “, das für„ Paketaufnahme steht.”Sobald die Erfassung abgeschlossen ist, wird die Datei in Ihrem lokalen Laufwerk gespeichert. Diese Datei kann nicht mit einem Texteditor -Programm geöffnet oder gelesen werden. Um es zu lesen, verwenden Sie die “-R"Flagge mit" TCPDump ":
$ tcpdump -r packetdata.PCAP
Abschluss:
Das „TCPDump“ ist ein wertvolles und flexibles Tool, um den Netzwerkverkehr zu erfassen und zu analysieren, um Netzwerkprobleme zu beheben. Der Aufmerksamkeitspunkt dieses Leitfadens ist es, die grundlegende und erweiterte Verwendung des Befehlszeilendienstprogramms „TCPDump“ zu lernen. Wenn Sie es jedoch schwierig finden, gibt es ein weniger komplexes GUI-basiertes Programm namens „Wireshark“, das so gut wie der gleiche Job macht, aber mit verschiedenen zusätzlichen Funktionen.