که تاسو اړتیا لرئ په لینکس کې د شبکې پاکټونه تحلیل یا مداخل وکړئ ، نو غوره به وي چې د کنسول کار واخلئ tcpdump. مګر ستونزه د دې پرځای پیچلي مدیریت کې رامینځته کیږي. دا به اوسط کارونکي ته داسې بریښي چې د افادیت سره کار کول ناشوني دي ، مګر دا یوازې په لومړي نظر کې دی. مقاله به تاسو ته ووایی چې tcpdump څنګه کار کوي ، کوم ترکیب یې لري ، د دې کارولو څرنګوالی ، او د دې کارونې ډیری مثالونه به ورکړل شي.
دا هم وګورئ: په اوبنټو ، دبیان ، اوبنټو سرور کې د انټرنیټ اتصال تنظیم کولو لارښوونې
لګول
د لینکس میشته عملیاتي سیسټمونو ډیری رامینځته کونکي د مخکې نصب شوي لست کې د tcpdump افادیت شاملوي ، مګر که د کوم دلیل لپاره دا ستاسو په ویش کې نه وي ، تاسو کولی شئ تل یې ډاونلوډ کړئ او له لارې یې نصب کړئ. "ټرمینل". که ستاسو OS دیوبین پراساس وي ، او دا اوبنټو ، لینکس مینټ ، کلی لینکس او نور دي ، تاسو اړتیا لرئ دا قومانده پرمخ وړئ:
sudo apt نصب tcpdump
کله چې نصب کول ، تاسو اړتیا لرئ پاسورډ داخل کړئ. مهرباني وکړئ په یاد ولرئ کله چې ډایل کول ، دا ښودل شوی نه دی ، د ترتیب تایید کولو لپاره چې تاسو کرکټر ته داخلیدو ته اړتیا لرئ ډي او کلیک ننوتل.
که تاسو ریډ هټ ، فیډورا یا سینټوس لرئ ، نو د نصبولو قوماندې به ورته ورته وي:
sudo yam نصب tcpdump
وروسته له دې چې یوټیلیت نصب شي ، دا سمدلاسه کارول کیدی شي. دا او نور ډیر څه به وروسته په متن کې بحث شي.
دا هم وګورئ: د اوبنټو سرور کې د PHP نصب کولو لارښود
ترکیب
د کومې بلې قوماندې په څیر ، tcpdump خپل ترکیب لري. د هغه پیژندل ، تاسو کولی شئ ټول اړین پیرامیټونه تنظیم کړئ چې د امر په پلي کولو کې به په پام کې ونیول شي. ترکیب په لاندې ډول دی:
د tcpdump اختیارونه - د انټرنیټ فلټرونه
کله چې کمانډ وکاروئ ، تاسو باید د تعقیب لپاره انٹرفیس مشخص کړئ. فلټرونه او اختیارونه اختیاري تغیرات دي ، مګر دوی د ډیر انعطاف وړ تخصیص لپاره اجازه ورکوي.
غوراوي
که څه هم دا اړینه نده چې یو اختیار په ګوته کړئ ، تاسو لاهم اړتیا لرئ د موجودو لیست کولو لپاره. جدول د دوی بشپړ لیست نه ښیې ، مګر یوازې خورا مشهور دي ، مګر دوی د ډیری دندو حل کولو لپاره کافي څخه ډیر دي.
| غوراوي | تعریف |
|---|---|
| -A | تاسو ته اجازه درکوي چې بسته بندي د ASCII ب withه سره تنظیم کړئ |
| -l | د سکرول فنکشن اضافه کوي. |
| -i | د ننوتلو وروسته ، تاسو اړتیا لرئ د شبکې انٹرفیس مشخص کړئ چې و به څارل شي. د ټولو انٹرفیسونو نظارت کولو پیل کولو لپاره ، د اختیار څخه وروسته "کوم" ټکی دننه کړئ |
| -c | د پاکټونو ټاکل شوي شمیرې چیک کولو وروسته د تعقیب پروسې پای ته رسوي |
| -w | د تایید راپور سره د متن فایل رامینځته کوي |
| -e | د ډیټا اتصال انټرنیټ پیوستون کچه ښیې |
| -L | یوازې هغه پروتوکولونه څرګندوي چې ټاکل شوې شبکې انٹرفیس یې ملاتړ کوي. |
| -سي | د کڅوړې ثبت کولو پرمهال بله فایل رامینځته کوي که چیرې د هغې اندازه له ټاکل شوي اندازې څخه لوی وي |
| -r | د لوستلو فایل خلاصوي چې د -w اختیار په کارولو سره رامینځته شوی |
| -j | د ټایم سټمپ ب formatه به د پاکټونو ثبت کولو لپاره وکارول شي |
| -ج | تاسو ته اجازه درکوي ټول د وخت سټینګ فارمټونه وګورئ |
| -جی | د لاګ فایل رامینځته کولو لپاره خدمت کوي. اختیار هم لنډمهاله ارزښت ته اړتیا لري ، چې وروسته به یو نوی لاګ رامینځته شي |
| -v، -vv، -vvv | په اختیار کې د کرکټرونو شمیر پورې اړه لري ، د قوماندې محصول به ډیر توضیحي شي (زیاتوالی د کرکټرونو شمیر سره مستقیم تناسب دی) |
| -ف | محصول د IP ادرسونو ډومین نوم ښیې |
| -F | د معلوماتو لوستلو ته اجازه ورکوي د شبکې انٹرفیس نه ، مګر د ټاکل شوې فایل څخه |
| -ډ | د ټولو شبکې انٹرفیس څرګندوي چې کارول کیدی شي. |
| -n | د ډومین نومونو ښودنه غیر فعال کوي |
| -ز | هغه کارونکي ټاکي چې د کومې حساب لاندې ټولې فایلونه به رامینځته شي. |
| -ک | د چکسم تحلیل پریښودل |
| -ق | لنډیز ښودل |
| -ه | 802.11 سرونه کشف کړئ |
| - زه | کارول کیږي کله چې په مانیټر حالت کې د پاکټونو نیول |
د اختیارونو معاینه کولو سره ، یو څه ټیټ به موږ مستقیم د دوی غوښتنلیکونو ته لاړ شو. په ورته وخت کې ، فلټرونه به په پام کې ونیول شي.
فلټرونه
لکه څنګه چې د مقالې په پیل کې ویل شوي ، تاسو کولی شئ د tcpdump ترکیب کې فلټرونه اضافه کړئ. اوس د دوی خورا مشهور به په پام کې ونیول شي:
| چا | تعریف |
|---|---|
| کوربه | د کوربه نوم مشخص کوي |
| جال | د IP فرعي او شبکې په ګوته کوي |
| آی پی | د پروټوکول پته ټاکي |
| src | پاکټونه ښیې چې د ټاکل شوي پته څخه لیږل شوي و |
| dst | پاکټونه ښیې چې د ټاکل شوي پته لخوا ترلاسه شوي |
| arp، udp، tcp | د یوه پروتوکول لخوا فلټر کول |
| درشل | په ځانګړي پورټ پورې اړوند معلومات ښیې |
| او ، یا | په کمانډ کې ډیری فلټرونه ترکیب کوي. |
| لږ لوی | وتلې بسته د ټاکل شوي اندازې څخه کوچنۍ یا لوی |
ټول پورتني فلټرونه د یو بل سره یوځای کیدی شي ، نو د امر په صادرولو کې به تاسو یوازې هغه معلومات وګورئ چې تاسو یې غواړئ وګورئ. د پورتني فلټرونو په کارولو سره د لازیاتو معلوماتو لپاره ، دا د مثالونو ورکولو ارزښت لري.
دا هم وګورئ: د لینکس ترمینل کې ډیری ځله کارول شوي کمانډونه
د کارولو مثالونه
د tcpdump کمانډ لپاره په مکرر ډول کارول شوي ترکیب اختیارونه به اوس وښودل شي. دا ټول لیست نه شي کیدی ، ځکه چې د دوی مختلف توپیرونو بې شمیره شمیرې کیدی شي.
د انٹرفیسونو لیست وګورئ
سپارښتنه کیږي چې هر کارونکی په پیل کې د هغه ټولو شبکې انٹرفیس لیست چیک کړي چې تعقیب کیدی شي. د پورته جدول څخه موږ پوهیږو چې د دې لپاره تاسو د اختیار کارولو ته اړتیا لرئ -ډنو په ټرمینل کې لاندې کمانډ ولیکئ:
sudo tcpdump -D
یو مثال:
لکه څنګه چې تاسو لیدلی شئ ، بیلګه یې اتلس انٹرفیسونه لري چې د tcpdump کمانډ په کارولو سره لیدل کیدی شي. مقاله به د دې سره مثالونه وړاندې کړي ppp0تاسو کولی شئ کوم بل وکاروئ.
د عادي ترافیک نیول
که تاسو اړتیا لرئ د یوې شبکې انٹرفیس تعقیب کړئ ، نو تاسو دا د اختیار په کارولو سره کولی شئ -i. د ننوتلو وروسته د انٹرفیس نوم درج کول مه هیروئ. دلته د ورته قوماندې مثال دی:
sudo tcpdump -i ppp0
مهرباني وکړئ په یاد ولرئ: د سپارښتنې دمخه تاسو اړتیا لرئ "sudo" ته ننوځئ ، ځکه چې دا غوره کارونکي حقونو ته اړتیا لري.
یو مثال:
یادونه: په "ټرمینل" کې د Enter فشارولو وروسته ، وقف شوي پاکټونه به په دوامداره توګه څرګند شي. د دوی جریان مخه نیولو لپاره ، تاسو اړتیا لرئ د Ctrl + C کلیدي ترکیب فشار کړئ.
که تاسو کمانډ د اضافي اختیارونو او فلټرونو پرته اجرا کړئ ، نو تاسو به د نظارت شوي پاکټونو ښودلو لپاره لاندې ب formatه وګورئ:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: بيرغونه [P.] ، Seq 1: 595 ، ack 1118 ، د 6494 ګټل ، اختیارونه [nop، nop، TS ویل 257060077 ecr 697597623] ، اوږدوالی 594
چیرې چې رنګ روښانه شوی وي:
- نیلي - د پاکټ د رسید وخت؛
- نارنجي - پروتوکول نسخه؛
- زرغون - د لېږونکي پته؛
- وایلیټ - د اخیستونکي پته؛
- خړ - د tcp په اړه اضافي معلومات؛
- سور - پاکټ اندازه (په بایټونو کې ښودل شوی).
دا ترکیب په کړکۍ کې د ښودلو وړتیا لري. "ټرمینل" د اضافي اختیارونو کارولو پرته.
د -v اختیار سره د ترافیک نیول
لکه څنګه چې له میز څخه پیژندل شوی ، اختیار -v تاسو ته اجازه درکوي د معلوماتو مقدار ډیر کړئ. راځئ چې یو مثال واخلو. ورته انٹرفیس وګورئ:
sudo tcpdump -v -i ppp0
یو مثال:
دلته تاسو کولی شئ وګورئ چې لاندې کرښه په محصول کې ښکاري:
IP (tos 0x0 ، ttl 58 ، id 30675 ، آفسیټ 0 ، بgsونه [DF] ، پروټو TCP (6) ، اوږدوالی 52
چیرې چې رنګ روښانه شوی وي:
- نارنجي - پروتوکول نسخه؛
- نیلي - پروتوکول عمر
- شنه - د ساحې سرۍ اوږدوالی؛
- ارغواني - د tcp بسته نسخه؛
- سور - پاکټ اندازه.
همدارنګه د کمانډ ترکیب کې تاسو کولی شئ یو اختیار ولیکئ -vv یا -vvv، کوم چې به نور په پرده د ښودل شوي معلوماتو اندازه ډیروي.
اختیار - W او -r
د اختیارونو جدول په جلا فایل کې د ټول محصول خوندي کولو وړتیا یادونه وکړه نو تاسو وروسته یې لیدلی شئ. اختیار د دې لپاره مسؤل دی. -w. د دې کارول خورا اسانه دي ، یوازې دا په قوماندې کې مشخص کړئ ، او بیا د توسیع سره د راتلونکي فایل نوم داخل کړئ ".pcap". راځئ چې یو مثال وګورو:
sudo tcpdump -i ppp0 -w file.pcap
یو مثال:
مهرباني وکړئ په یاد ولرئ: کله چې فایل ته د خبرونو لیکلو پرمهال کوم متن په "ټرمینل" اسڪرين کې نه ښودل کیږي.
کله چې تاسو غواړئ ثبت شوي محصول وګورئ ، تاسو باید اختیار وکاروئ -r، وروسته له هغه چې د مخکې ثبت شوي فایل نوم ولیکئ. دا د نورو اختیارونو او فلټرونو پرته کارول کیږي:
sudo tcpdump -r file.pcap
یو مثال:
دا دواړه اختیارونه په داسې قضیو کې عالي دي چیرې چې تاسو اړتیا لرئ د وروسته پار کولو لپاره لوی متن خوندي کړئ.
د IP فلټر کول
د فلټر میز څخه موږ پوهیږو dst تاسو ته اجازه درکوي چې په کنسول سکرین کې یوازې هغه پاکټونه وښایئ چې د پته لخوا ترلاسه شوي چې د کمانډ ترکیب کې ټاکل شوي. پدې توګه ، دا ستاسو د کمپیوټر لخوا ترلاسه شوي پاکټونو لیدو لپاره خورا اسانه دی. د دې کولو لپاره ، ټیم یوازې د دې IP پتې مشخص کولو ته اړتیا لري:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
یو مثال:
لکه څنګه چې تاسو لیدلی شئ ، سربیره dst، موږ په ټیم کې فلټر هم ثبت کړ آی پی. په بل عبارت ، موږ کمپیوټر ته وویل چې کله د پاکټونو غوره کول به د دوی IP پتې ته پاملرنه وکړي ، او نه نورو پیرامیټرو ته.
د IP په واسطه ، تاسو کولی شئ د وتلو بسته هم فلټر کړئ. موږ به بیا خپله مثال په مثال کې ورکړو. همدا ده ، اوس به موږ تعقیب کړو چې زموږ له کمپیوټر څخه کومې پاکټونه نورو ادرسونو ته استول کیږي. د دې کولو لپاره ، لاندې کمانډ پرمخ وړئ:
sudo tcpdump -i ppp0 ip src 10.0.6.67
یو مثال:
لکه څنګه چې تاسو لیدلی شئ ، په کمانډ ترکیب کې موږ فلټر بدل کړی dst په src، په دې توګه ماشین ته وايي چې په IP کې د لیږونکي په لټه کې شي.
هسټ فلټر کول
په کمانډ کې د آی پی سره تشبیه کولو سره ، موږ کولی شو فلټر مشخص کړو کوربهد ګټو کوربه سره پاکټونه فلټر کول. دا ، په نحو کې ، د لیږونکي / ترلاسه کونکي IP پتې پرځای ، تاسو به د هغې کوربه مشخص کولو ته اړتیا ولرئ. داسې ښکاري چې:
sudo tcpdump -i ppp0 dst کوربه google-public-dns-a.google.com
یو مثال:
په عکس کې تاسو کولی شئ پدې کې وګورئ "ټرمینل" یوازې هغه پاکټونه چې زموږ له IP څخه google.com کوربه ته لیږل شوي ښودل شوي. لکه څنګه چې تاسو پوهیدلی شئ ، د ګوګل کوربه پرځای ، تاسو کوم بل ته ننوتلی شئ.
لکه څنګه چې د IP فلټر کولو سره ، نحو dst لخوا بدله کیدی شي srcد هغه کڅوړو لیدو لپاره چې ستاسو کمپیوټر ته لیږل شوي:
sudo tcpdump -i ppp0 src کوربه google-public-dns-a.google.com
یادونه: د کوربه فلټر باید د dst یا src وروسته وي ، که نه نو کمانډ به خطا شي. د آی پی لخوا د فلټر کولو په حالت کې ، برعکس ، dst او src د آی پی فلټر په مخ کې دي.
د او یا فلټر پلي کول
که تاسو اړتیا لرئ په یوځل کې په یو قومانده کې ډیری فلټرونه وکاروئ ، نو تاسو اړتیا لرئ فلټر پلي کړئ او یا یا (په قضیه پورې اړه لري). په نحو کې د فلټرونو مشخص کولو او د دې چلونکو سره جلا کولو سره ، تاسو به دوی ته د یو په څیر کار وکړئ. د مثال په توګه ، داسې ښکاري:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 یا ip src 95.47.144.254
یو مثال:
د کمانډ ترکیب هغه څه ښیې چې موږ یې ښودل غواړو "ټرمینل" ټول پاکټونه چې د 95.47.144.254 پتې ته استول شوي وو او د ورته پتې لخوا ترلاسه شوي پاکټونه. تاسو کولی شئ پدې اظهار کې ځینې تغیرات هم بدل کړئ. د مثال په توګه ، د IP پرځای ، HOST مشخص کړئ یا مستقیم پته پخپله ځای په ځای کړئ.
پورټ او پورټریج فلټر
چا درشل سمال په هغه حالتونو کې چیرې چې تاسو اړتیا لرئ د ځانګړي بندر سره د کڅوړو په اړه معلومات ترلاسه کړئ. نو ، که تاسو یوازې ځوابونو یا DNS پوښتنو ته اړتیا لرئ ، نو تاسو اړتیا لرئ چې بندر 53 روښانه کړئ:
sudo tcpdump -vv -i ppp0 Port 53
یو مثال:
که تاسو غواړئ د HT پاک پاکټونه وګورئ ، تاسو اړتیا لرئ 80 پورټ ته ننوځي:
sudo tcpdump -vv -i ppp0 Port 80
یو مثال:
د نورو شیانو په مینځ کې ، دا امکان لري چې سمدلاسه د بندرونو حد تعقیب کړئ. فلټر د دې لپاره کارول کیږي. درشل:
sudo tcpdump پورټریج 50-80
لکه څنګه چې تاسو لیدلی شئ ، د فلټر سره په ګډه درشل اختیاري اختیارونه اړین دي. یوازې حد وټاکئ.
پروټوکول فلټرول
تاسو کولی شئ یوازې ترافیک ښکاره کړئ چې د کوم پروتوکول سره مل وي. د دې کولو لپاره ، د فلټر په توګه د دې پروتوکول نوم وکاروئ. راځئ چې یو مثال وګورو udp:
sudo tcpdump -vvv -i ppp0 udp
یو مثال:
لکه څنګه چې تاسو په عکس کې لیدلی شئ ، وروسته د کمانډ اجرا کولو وروسته "ټرمینل" د پروتوکول سره یوازې پاکټونه ښودل شوي udp. په دې اساس ، تاسو کولی شئ د نورو لخوا فلټر کړئ ، د مثال په توګه ، ارپ:
sudo tcpdump -vvv -i ppp0 arp
یا tcp:
sudo tcpdump -vvv -i ppp0 tcp
خالص چا filterګر
چلونکی جال د دوی شبکې ډیزاین پراساس د فلټر پاکټونو سره مرسته کوي. د دې کارول د آرام په څیر ساده دي - تاسو اړتیا لرئ په ترکیب کې یو خاصیت مشخص کړئ جال، بیا د شبکې پته دننه کړئ. دلته د ورته قوماندې مثال دی:
sudo tcpdump -i ppp0 خالص 192.168.1.1
یو مثال:
د پاکټ اندازه فلټر کول
موږ دوه نور په زړه پوري فلټرونه په پام کې ندي نیولی: لږ او لوی. د فلټرونو سره د میز څخه ، موږ پوهیږو چې دوی ډیټا ډیټابیس پاکټونو ته خدمت کوي (لږ) یا لږ (لوی) اندازه د خاصیت له ننوتلو وروسته مشخص شوې.
فرض کړئ چې موږ یوازې هغه پاکټونه وڅارئ چې د 50-bit نښه څخه ډیر نه وي ، نو بیا به کمانډ ورته ښکاري:
sudo tcpdump -i ppp0 لږ 50
یو مثال:
اوس راځئ چې دننه یې وښیو "ټرمینل" پاکټونه د 50 ټوټې څخه لوی:
sudo tcpdump -i ppp0 لوی 50
یو مثال:
لکه څنګه چې تاسو لیدلی شئ ، دوی ورته ورته پلي کیږي ، یوازې توپیر د فلټر په نوم دی.
پایله
د مقالې په پای کې ، موږ کولی شو هغه ټیم پای ته ورسوو tcpdump - دا یو عالي وسیله ده چې د کوم سره تاسو کولی شئ په انټرنیټ کې لیږدول شوي د معلوماتو ډیرو بسته تعقیب کړئ. مګر د دې لپاره دا کافي ندي چې پخپله قوماندې ته دننه شي "ټرمینل". مطلوب پایلې به یوازې هغه وخت ترلاسه شي چې تاسو هر ډول اختیارونه او فلټرونه وکاروئ ، او همدا ډول د دوی ترکیبونه.
