TCPDump -Tutorial mit Beispielen

TCPDump -Tutorial mit Beispielen
TCPDump ist ein sehr nützliches Netzwerk -Paket -Analysator -Tool. Sie können dieses Tool über die Befehlszeilenschnittstelle verwenden. Darüber hinaus ist dieses Tool vorinstalliert mit den meisten verfügbaren Linux-Verteilungen, die da draußen verfügbar sind. Mit Hilfe relevanter Beispiele können wir Ihnen einige der häufigsten Verwendungen dieses Tools mit Ihnen teilen.

Beispiele für TCPDump -Nutzung:

Zum Erlernen der Verwendung des TCPDump -Tools auf einer Linux -Mint 20.3 System können Sie die folgenden Beispiele berücksichtigen:

Beispiel 1: So bestätigen Sie die Existenz des TCPDump -Tools unter Linux Mint 20.3?

Bevor Sie das TCPDump -Tool verwenden, müssen Sie sicherstellen, dass dieses Tool bereits in Ihrem System vorhanden ist. Dies kann durch Ausführen des unten angegebenen Befehls bestätigt werden.

$ tcpdump -Verssion

Die folgende Ausgabe bestätigt, dass das TCPDump -Tool bereits auf unserer Linux Mint 20 installiert ist.3 System:

Beispiel Nr. 2: So greifen Sie auf das Help -Handbuch des TCPDump -Tools unter Linux Mint 20 zu.3?

Außerdem wird empfohlen, das Hilfehandbuch dieses Tools vor der Verwendung durchzugehen. Sie können dies tun, indem Sie den unten gezeigten Befehl ausführen.

$ tcpdump -HELP

Das Hilfehandbuch des TCPDump -Tools ist im folgenden Bild angezeigt:

Beispiel 3: Listen Sie alle verfügbaren Schnittstellen mit TCPDump auf:

Sie müssen den unten angegebenen Befehl ausführen, um alle verfügbaren Schnittstellen Ihres Systems aufzulisten.

$ tcpdump -d

Alle verfügbaren Schnittstellen unseres Systems sind im folgenden Bild angezeigt:

Beispiel 4: Erfassen Sie Pakete von einer einzelnen Schnittstelle mit TCPDump:

Um die Pakete von einem der verfügbaren Schnittstellen mit TCPDump zu erfassen, können Sie den unten angegebenen Befehl ausführen:

$ sudo tcpdump -i ENP0S3

Hier können Sie „ENP0S3“ durch den Namen der jeweiligen Schnittstelle ersetzen, deren Pakete Sie erfassen möchten.

Außerdem erfasst dieser Befehl die Pakete wie im folgenden Bild gezeigt, bis Sie ihn durch Drücken von Strg+ C einsetzt stoppen. Am Ende wird jedoch eine Zusammenfassung der Gesamtpakete angezeigt, die erfasst, empfangen und fallen gelassen haben.

Beispiel 5: Begrenzen Sie die Anzahl der erfassten Pakete mit TCPDump:

Sie haben in dem oben gezeigten Beispiel gesehen, dass der Befehl tcpdump die Pakete immer wieder erfasst, bis wir sie gewährlich stoppen. Dennoch gibt es einen Weg, durch den Sie die Anzahl der erfassten Pakete einschränken können, indem Sie diese Zahl in der unten gezeigten Weise angeben:

$ sudo tcpdump -c 3 -i ENP0S3

Sie können „3“ durch die Gesamtpakete ersetzen, die Sie erfassen möchten.

Nachdem die angegebene Anzahl von Paketen erfasst wurde, endet dieser Befehl automatisch wie im folgenden Bild gezeigt:

Beispiel 6: Zeigen Sie die erfassten Pakete im ASCII -Format mit TCPDump an:

Möglicherweise möchten Sie auch die erfassten Pakete im ASCII -Format anzeigen. Dies kann durch Ausführen des unten angegebenen Befehls erfolgen:

$ sudo tcpdump -a -c 3 -i enp0s3

Die erfassten Pakete im ASCII -Format sind im folgenden Bild angezeigt:

Beispiel Nr. 7: Zeigen Sie die erfassten Pakete in ASCII- und HEX -Formaten anhand von TCPDump an:

Der unten angegebene Befehl kann verwendet werden, um die erfassten Pakete gleichzeitig in den ASCII- und Hex -Formaten zu drucken:

$ sudo tcpdump -xx -c 3 -i enp0s3

Das folgende Bild zeigt die Ausgabe dieses Befehls:

Beispiel 8: Speichern Sie die erfassten Pakete in einer Datei mit TCPDump:

Wenn Sie die erfassten Pakete in einer Datei speichern möchten, müssen Sie den unten angegebenen Befehl ausführen:

$ sudo tcpdump -W 0001.PCAP -c 3 -i ENP0S3

Hier, “0001.PCAP ”ist der Name der Datei, für die die erfassten Pakete gespeichert werden.

Nach dem erfolgreichen Speichern der erfassten Pakete in der angegebenen Datei wird die folgende Ausgabe am Terminal angezeigt:

Beispiel Nr. 9: Lesen Sie die erfassten Pakete aus einer Datei mit TCPDUMP aus:

Wenn Sie nun die erfassten Pakete lesen und analysieren möchten, die Sie zuvor in einer Datei gespeichert haben, müssen Sie den unten gezeigten Befehl ausführen:

$ sudo tcpdump -r 0001.PCAP

Der Inhalt unserer angegebenen Datei, ich.e., Alle erfassten und gespeicherten Pakete sind im folgenden Bild angezeigt:

Beispiel Nr. 10: Erfassen Sie nur die IP -Pakete mit TCPDump:

Sie können auch nur die IP -Pakete erfassen, indem Sie den unten angegebenen Befehl ausführen:

$ sudo tcpdump -n -c 3 -i enp0s3

Die erfassten IP -Pakete sind im folgenden Bild angezeigt:

Beispiel Nr. 11: Erfassen Sie Pakete nur eines bestimmten Protokolls mit TCPDump:

Der unten angegebene Befehl kann verwendet werden, um nur die Pakete zu erfassen, die ein angegebenes Protokoll verwenden:

$ sudo tcpdump -c 3 -i ENP0S3 UDP

Dieser Befehl erfasst drei UDP -Pakete von der angegebenen Schnittstelle, wie im folgenden Bild gezeigt. Sie können den gleichen Befehl verwenden, während Sie „UDP“ durch „TCP“ ersetzen, um die TCP -Pakete zu erfassen.

Beispiel 12: Erfassen Sie Pakete nur aus einem bestimmten Port mit TCPDump:

Wenn Sie die Pakete nur von einem bestimmten Port erfassen möchten, müssen Sie den unten angegebenen Befehl ausführen.

$ sudo tcpdump -c 1 -i ENP0S3 Port 29915

Hier können Sie „29915“ durch die Portnummer des Ports ersetzen, dessen Pakete Sie erfassen möchten.

Dieser Befehl dauert einige Zeit, um auszuführen. Danach können Sie die Pakete aus dem angegebenen Port sehen.

Beispiel Nr. 13: Erfassen Sie Pakete aus der Quell -IP -Adresse mit TCPDump:

Um die Pakete aus der Quell -IP -Adresse zu erfassen, müssen Sie den folgenden Befehl ausführen:

$ sudo tcpdump -c 3 -i ENP0S3 SRC 10.0.2.15

Sie können „10 ersetzen.0.2.15 ”mit Ihrer speziellen Quell -IP -Adresse.

Auch dieser Befehl dauert einige Zeit, um seine Ausführung zu beenden. Danach können Sie die erfassten Pakete von der Quell -IP -Adresse von der Quell -IP -Adresse sehen.

Beispiel Nr. 14: Pakete von der Ziel -IP -Adresse mit TCPDump erfassen:

Schließlich können Sie auch Pakete aus der Ziel -IP -Adresse erfassen, indem Sie den unten angegebenen Befehl ausführen:

$ sudo tcpdump -c 3 -i ENP0S3 DST 192.168.10.1

Hier können Sie „192 ersetzen.168.10.1 ”mit der jeweiligen Ziel -IP -Adresse, deren Pakete Sie erfassen möchten.

Nach einiger Zeit werden in diesem Befehl die erfassten Pakete von der Ziel -IP -Adresse angezeigt.

Abschluss

Dieses Tutorial führte Sie zur Verwendung des TCPDump -Tools auf einer Linux -Mint 20.3 System. Wenn Sie die in diesem Tutorial geteilten Beispiele durchlaufen, lernen Sie zumindest die grundlegende Verwendung dieses äußerst hilfreichen Dienstprogramms.