GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Pakete mit tcpdump erfassen

tcpdump ist ein leistungsstarkes Netzwerk-Debugging-Tool, mit dem Sie Pakete auf einer Netzwerkschnittstelle abfangen und anzeigen können. Ein wichtiges Feature von tcpdump ist der Filter, mit dem Sie nur die Pakete anzeigen können, die Sie sehen möchten.

tcpdump installieren

Dieses Beispiel verwendet Ubuntu® 18.04, aber die Installationsschritte sind für andere Linux®-Distributionen ähnlich. Verwenden Sie den folgenden Befehl, um tcpdump zu installieren auf einem Server mit dem Betriebssystem Ubuntu:

sudo apt-get install tcpdump

tcpdump verwenden

sudo tcpdump [options] [filter expression]

Standardmäßig tcpdump erfasst Pakete auf eth0 . Um eine andere Schnittstelle anzugeben, verwenden Sie -i Kommandozeilen-Flag. Der folgende Befehl erfasst alle Pakete auf eth1 Schnittstelle:

sudo tcpdump -i eth1

Verwenden Sie den folgenden Befehl, um alle UDP-Verbindungen abzuhören:

sudo tcpdump udp

Verwenden Sie den folgenden Befehl, um Pakete für einen bestimmten Port zu erfassen:

sudo tcpdump port 80

Der vorhergehende Befehl gibt alle Pakete mit Port 80 zurück als ihren Ziel- oder Quellport.

Angenommen, Sie möchten genauer sein und nur Pakete mit Zielport 80 erfassen. Wenn Sie einen Webserver in Ihrer Cloud haben, können Sie den folgenden Befehl verwenden, um eingehende Pakete zu sehen.

sudo tcpdump dst port 80

Sie können auch Pakete für einen bestimmten Host erfassen. Der folgende Befehl fängt Pakete ab, die nur von der IP-Adresse 1.2.3.4 kommen :

sudo tcpdump src host 1.2.3.4

tcpdump kann logische Argumente wie and annehmen oder or . Sie können logische Anweisungen in einem tcpdump verwenden Befehl. Beispielsweise fängt der folgende Befehl alle Secure Shell (SSH)-Pakete ab, die von einem SSH-Server zu einem Client mit der IP-Adresse 1.2.3.4 gehen :

sudo  tcpdump "src port 22" and "dst host 1.2.3.4"

Sie können Rohpakete bequem in einer Datei speichern, indem Sie -w verwenden Möglichkeit:

tcpdump host 1.2.3.4 -w /home/users/demo/demo.dump

Um die gespeicherte Datei zu lesen, verwenden Sie den folgenden Befehl:

tcpdump -r /home/users/demo/demo.dump

Zusammenfassung

Systemadministratoren verwenden üblicherweise tcpdump , ein leistungsstarkes Paket-Sniffer-Tool, um Netzwerkprobleme zu lösen und den Datenverkehr zu untersuchen. Sie können boolesche Ausdrücke verwenden, um die Pakete zu erfassen, die Sie untersuchen möchten.


Linux

  1. Beheben Sie Probleme in Ihrem Netzwerk mit tcpdump

  2. Eine Binärdatei mit Dd patchen?

  3. Mergecap und Tshark:Packet Dumps zusammenführen und Netzwerkverkehr analysieren

  4. Beispiele für die Verwendung des Befehls tcpdump für die Netzwerkfehlerbehebung

  5. Wie kann ich tcpdump dazu bringen, die Erfassung nach einer bestimmten Anzahl erfasster Pakete zu stoppen?

Pakete mit Tcpdump erfassen und mit Wireshark auf Ubuntu analysieren

Tcpdump-Beispiele - Erfassen Sie den Netzwerkverkehr in Linux

Analyse des Netzwerkverkehrs mit tcpdump

Linux-tcpdump-Befehl

Nützliche tcpdump-Linux-Beispiele für den Netzwerkadministrator

Packet Analyzer:15 Beispiele für TCPDUMP-Befehle