که تاسو اړتیا لرئ چې په لینکس کې د شبکې پیکټونه تجزیه یا مداخله وکړئ، نو دا غوره ده چې د کنسول کارول د دې لپاره وکاروي. tcpdump. مګر ستونزه پخپله پیچلي مدیریت کې رامنځته کیږي. دا به د عادي کاروونکو لپاره ناشونې وي چې د کارولو سره کار وکړي، مګر دا یوازې په لومړي نظر کې دی. مقاله به تشریح کړي چې څنګه د Tcpdump تنظیم شوی، دا څه ناببره دی، دا څنګه کارول کیږي، او د دې کار ډیری بېلګې به ورکول کیږي.
دا هم وګورئ: په اوبنټو، Debian، Ubuntu سرور کې د انټرنیټ کنټرول د جوړولو لپاره سبقونه
لګول
د لینکس پر بنسټ عملیاتي سیسټمونو ډیری پرمختللیونکي شامل دي د مخکین شویو نصب شویو لیستونو کې د Tcpdump ګټې، مګر که د ځینې دلیلونو لپاره دا ستاسو په ویش کې ندي، تاسو کولی شئ دا د هغې له لارې ډک کړئ او نصب کړئ "ټرمینل". که ستاسو OS د Debian په اساس وي، او دا Ubuntu، Linux لینکس، کیلي لینکس او داسې نور دی، تاسو اړتیا لرئ چې دا حکم په لاره واچوو:
د Tcpdump لګولو سوډو ایټول
کله چې تاسو تاسیس کولو ته اړتیا لرئ د پټنوم دننه کولو ته اړتیا لرئ. لطفا په یاد ولرئ چې کله د ټیکولو کولو نمونه نه وي ښودل شوې، د نصب کولو تایید هم کول، تاسو باید ځان ته ورننوځئ "D" او مطبوعات ننوتل.
که تاسو ریډ Hat، Fedora یا CentOS لرئ، د نصبولو قومانده به داسې ښکاري:
sudo yam install tcpdump
کله چې کارول نصب شي نو تاسو ژر تر ژره یې کارولی شئ. دا به ډیر څه وروسته په متن کې بحث وشي.
دا هم وګورئ: د اوبنټو سرور لپاره د PHP انسټالولو لارښود
سنټکس
لکه د بل کوم قوم په څیر، Tcpdump پخپله نخشه لري. د هغه په اړه پوهیږئ، تاسو کولی شئ ټول اړین شرایط وټاکئ چې د قوماندې اجرا کولو په مهال به په پام کې ونیول شي. دا نخښه ده:
tcpdump انتخابونه - د انټرنیټ فلټرونه
کله چې د قوماندې کارول، تاسو باید د انټرنیټ د تعقیب لپاره مشخص کړئ. فلټرونه او اختیارونه ضروري متغیر نه دي، مګر دوی د لا زیاتې لینچینګ کنټرول اجازه ورکوي.
غوراوي
که څه هم د دې انتخاب مشخص کولو لپاره اړین نه دی، مګر لاهم اړین دی چې شتون ولري. میز خپل ټول لیست نه ښيي، مګر یواځې ترټولو مشهور دي، مګر دوی د ډیرو کارونو حل کولو لپاره کافي دي.
| اختیار | تعریف |
|---|---|
| -A | تاسو ته اجازه درکوي چې د ASCII شکل کې کڅوړي ترتیب کړئ |
| -l | د ښوونال فعالیت اضافه کول |
| -i | د ننوتلو وروسته تاسو د شبکې د انټرنیټ مشخص کولو ته اړتیا لرئ چې څارنه به یې وشي. د ټولو مداخلو د تعقیبولو لپاره، د انتخاب وروسته "" هر "کلمه ولیکئ. |
| -c | د ټاکل شوي شمېره د کتلو وروسته د تعقیب بهیر بشپړوي. |
| -w | د تایید راپور سره د متن فایل چمتو کوي. |
| -e | د ډاټا پیکټ د انټرنیټ کنټرول کچه ښيي. |
| -L | یوازې هغه پروتوکولونه ښکاره کوي چې د مشخص شبکې د انټرنیټ لخوا یې ملاتړ کیږي. |
| - سي | د بلې بڼې لیکلو پر مهال بل فایل جوړوي که چیرې دا اندازه د ټاکل شوې یو څخه لوی وي. |
| -r | د لوستلو لپاره یوه فایل پرانیزي چې د -w اختیاري سره جوړ شوی. |
| -J | د وخت وخت تیپټ فارم د ریکارډونو د ثبتولو لپاره کارول کیږي. |
| -J | تاسو ته اجازه درکوي چې ټول موجوده فارمیٹونه وختStamp |
| - جی | د دوتنې سره د دوتنې جوړولو لپاره کارول کیږي. دا انتخاب یو لنډمهاله ارزښت ته اړتیا لري، وروسته له هغې چې نوې لاگ ان جوړ شي |
| -v، -vv، -vvv | په اختیار کې د حرفو شمیره پورې اړه لري، د قوماندې محصول به نور تفصيلي شی (د زیاتوالی د حروفونو شمیر سره مستقیم متناسب وي) |
| -f | محصول د IP پته د ډومین نوم ښکاره کوي |
| -F | تاسو ته اجازه درکوي چې معلومات د شبکې د انټرنیټ څخه نه، مګر د ټاکل شوي فایل څخه |
| -D | د ټولو شبکو انټرنیټونه چې د کارولو وړ وي مظاهرې کوي. |
| - این | د ډومین نومونو نمونه منع کول |
| -Z | د هغه کاروونکي مشخص کوي چې تر کومې کچې ټول فايلونه جوړ شي. |
| - ک | د چک د څیړنې تحلیل پریږدئ |
| -ق | د لنډ معلوماتو تکرار |
| -H | د 802.11s سرښوونکي کشف کوي |
| -I | کله چې د پیټرونو لیږد د نظارت په موډل کې. |
د انتخابونو څیړلو سره، لاندې مو نېغ په مستقیم ډول خپل غوښتنلیکونو ته واستول. په عین وخت کې، فلټر به په پام کې ونیول شي.
فلټرونه
لکه چې د مضمون په پیل کې ذکر شوی، تاسو کولی شئ د Tcpdump مطابقت لپاره فلټر اضافه کړئ. اوس د دوی ترټولو مشهوره به په پام کې ونیول شي:
| فلټر | تعریف |
|---|---|
| کوربه | د کور نوم مشخصوي. |
| خال | IP IPnet او شبکه مشخصوي |
| ip | د پروتوکول پته مشخصوي |
| سرچینه | هغه پاکټونه ښکاره کوي چې د ټاکل شوي پته څخه ولېږل شول |
| dst | هغه پاکټونه ښکاره کوي چې د ټاکل شوي پته لخوا ترلاسه شوي. |
| arp، udp، tcp | د یو پروتوکول لخوا فلټر کول |
| بندر | د یوه ځانګړي بندر پورې اړوند معلومات ښکاره کول. |
| او، یا | په یوه قوماندې کې د ډیری فلټرونو سره یوځای کولو لپاره کارول کیږي. |
| لږ | د محصول محصول د ټاکل شوې اندازې څخه کوچنی یا لوی دی |
ټول پورته فلټر کولی شي د یو بل سره ګډ شي، نو د امر کولو په صادرولو کې به تاسو یوازې هغه معلومات وګورئ چې تاسو یې غواړئ. د نورو فلټرونو کارول په ډیرو تفصیلاتو پوهیدلو لپاره، دا د مثالونو ورکولو ارزښت لري.
دا هم وګورئ: په لینکسینډ کې په ډیری وختونو کارول شوي قوماندې
د استعمال بیلګې
په ډیرو وختونو کارول د Tcpdump نحو اختیارونه به یې لیست شي. ټول یې لیست نشی کولی، ځکه چې د دوی توپیرونه لاتر اوسه دی.
د انټرنیټ لیست وګورئ
سپارښتنه کیږي چې هر کارن په لومړي سر کې د هغه ټولو شبکو لسټونو لیست وګوري چې کیدای شي معلوم شي. له پورته جدول څخه موږ پوهیږو چې د دې لپاره تاسو د دې اختیار کارولو ته اړتیا لرئ -Dنو له دې امله په ټرمینل کې لاندې کمانډ چلوي:
sudo tcpdump-d
بېلګه:
لکه څنګه چې تاسو لیدلی شئ، د مثال په توګه اته ټکي شتون لري چې د Tcpdump کمانډ په کارولو سره کیدی شي. مقاله به د مثالونو وړاندیز وکړي ppp0تاسو کولی شئ د بل چا څخه کار واخلئ.
عادي ترافیک نیول
که تاسو د یو شبکې د شبکې د تعقیب اړتیا ته اړتیا لرئ، نو تاسو د دې اختیار سره کولی شئ -i. د ننوتلو وروسته د انټرنیټ نوم ورننوځئ. دلته د داسې قوماندې اجرا کولو یوه بیلګه ده:
سوډو ټپیډمپپ -iPP0
لطفا په یاد ولرئ: تاسو باید د قومندان څخه دمخه "سودو" داخل کړئ، ځکه چې دا د سپوږمکۍ حق ته اړتیا لري.
بېلګه:
یادونه: د "ټرمینل" کې د ننوتلو وروسته، لاندینۍ پیټیټونه به په منظمه توګه ښودل کیږي. د دوی د روانېدو لپاره، تاسو اړتیا لرئ د Ctrl + C کلیدي ترکیب فشار کړئ
که تاسو د اضافي انتخابونو او فلټر پرته کوم قومانده اداره کړئ، نو تاسو به د لټ شویو پیټرو د ښودلو لپاره لاندې بڼه وګورئ:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: پرچم [P.]، سیم 1: 595، اک 1118، 6494 انتخاب، اختیارونه [nop، nop، TS val 257060077 ecr 697597623]، اوږدوالی 594
چیرته رنګ په ګوته شوی:
- نیل - د پیکج د رسیدو وخت؛
- نارنج - پروتوکول نسخه؛
- د شنه - لیږونکي پته؛
- جامنی - د ترلاسه کوونکي پته؛
- غوړ - د TCP په اړه اضافي معلومات؛
- د سرخ - پیکټ اندازه (په بټونو کې ښودل شوي).
دا نخشه په کړکۍ کې د محصول توان لري "ټرمینل" د اضافي انتخابونو کارولو پرته.
د -v اختیار سره ټرافيکي نیسي
لکه څنګه چې د میز څخه پیژندل شوی، انتخاب -v تاسو ته د معلوماتو مقدار زیاتولو ته اجازه درکوي. راځئ چې یو مثال وګورو. ورته انٹرفیس وګورئ:
sudo tcpdump -vi ppp0
بېلګه:
دلته تاسو لیدلای شئ چې لاندې لین د تولید په اړه ښکاره شوي:
IP (tox 0x0، ttl 58، id 30675، آفسیٹ 0، بیرغونه [DF]، پراټو TCP (6)، اوږدوالی 52
چیرته رنګ په ګوته شوی:
- نارنج - پروتوکول نسخه؛
- نیل - د پروتوکول ژوند
- شنه - د ساحې سرلیک اوږدوالی.
- د TCP پی پیکج جامنی - نسخه
- د سور - پیکټ اندازه.
همداراز په بولډک کې په لیکه کې تاسو کولی شئ اختیار ولیکئ -vv یا -vvvکوم چې په سکرین کې ښودل شوي معلومات نور هم زیات کړي.
د W -r اختیار
د انتخاب جدول د جلا محصول ډاټا د جلا فایل کې د خوندي کولو امکان په ګوته کړی چې دوی وروسته وروسته وګورئ. دا اختیار د دې مسؤلیت دی. -w. دا د کارولو لپاره خورا ساده دی، یوازې په دې قوم کې داخل کړئ او بیا د توسیع سره د راتلونکی فایل نوم درج کړئ ".ccap". ټول مثال په پام کې ونیسئ:
sudo tcpdump -i ppp0 -w file.pcap
بېلګه:
لطفا په یاد ولرئ: په داسې حال کې چې د دوتنې لپاره لوګزونه ولیکئ، نو "ټرمینل" اسڪرين کې هیڅ متن ندی ښودل شوی.
کله چې تاسو غواړئ ثبت شوي محصول وګورئ، تاسو اړتیا لرئ چې اختیار وکاروئ -rوروسته د ثبت شوي دوتنې نوم. دا د نورو اختیارونو او فلټر پرته پلي کیږي:
sudo tcpdump-r file.pcap
بېلګه:
دا دواړه اختیارونه په هغو قضیو کې بشپړ دي چېرې تاسو اړتیا لرئ چې د وروستیو شننو لپاره خورا لوی متن خوندي کړئ.
د IP فلټر کول
د فلټر میز څخه، موږ پوهیږو dst تاسو ته اجازه درکوي چې د کنسول اسکرین یوازې هغه هغه کټګوري چې د کمانټ مطابقت کې مشخص شوي پتې لخوا ترلاسه شوي وو، نندارې ته وړاندې کړئ. په دې توګه، د کمپیوټر لخوا ترلاسه شوي پیټلیټونو لیدلو لپاره خورا آسانه ده. د دې کولو لپاره، ټیم یوازې خپل IP پته مشخصوي.
sudo tcpdump -i ppp0 ip dst 10.0.6.67
بېلګه:
لکه څنګه چې تاسو کولی شئ نور هم وګورئ dstپه ټیم کې موږ هم فلټر ثبت کړ ip. په بل عبارت، موږ کمپیوټر ته وویل چې کله د پیټرو انتخاب، هغه به خپل IP پته ته پاملرنه وکړي، او نورو پیرامیټونو ته به پام ونه کړي.
د IP پواسطه، تاسو کولی شئ د پیټرو فلټر او لیږل. په بیلګې کې موږ خپل پی پی یو ځل بیا ورکوو. دا، موږ به اوس وڅارو چې کوم کمپیوټر زموږ د کمپیوټر څخه نورو پته ته لیږل کیږي. د دې کولو لپاره، لاندې کمانډ چلوی:
sudo tcpdump -i ppp0 ip src 10.0.6.67
بېلګه:
لکه څنګه چې تاسو لیدلای شئ، موږ فلټر بدل کړی دی dst په سرچینهپه دې توګه د آی پي لخوا د لیږونکي د لټون لپاره ماشین ته ویل.
HOST فلټر کول
په ټیم کې د IP سره په انلایل سره، موږ کولی شو فلټر مشخص کړو کوربهد ګټو د کوربه سره د پاکو ټوټو لپاره. دا، په نخشه کې، د لیږونکي / ترلاسه کوونکي IP پتې پرځای، تاسو به اړین کوربه مشخص کړئ. داسې ښکاري:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
بېلګه:
په انځور کې تاسو کولی شئ په دې کې وګورئ "ټرمینل" یواځې هغه پیټونه چې زموږ د IP څخه google.com کې لیږل شوي وې ښودل شوي. لکه څنګه چې تاسو لیدلی شئ، د google کوربه ځای په ځای، تاسو کولی شئ بل څوک ورننوځئ.
د IP فلټر کولو سره، دا نخښه دا ده: dst کیدای شي بدله شي سرچینهد هغو پیټیو لیدلو لپاره چې ستاسو کمپیوټر ته لیږل کیږي:
sudo tcpdump -i ppp0 src کوربه google-public-dns-a.google.com
یادونه: د کوربه فلټر باید د dst یا src وروسته وي، بلکه دا کمانډ یو تېروتنه رامنځته کوي. د IP فلټر کولو په صورت کې، برعکس، dst او src د ip فلټر مخې ته دي.
فلټر او یا
که تاسو په یو کمان کې یو ځل په ډیری فلټرونو کارولو ته اړتیا لرئ، نو تاسو اړتیا لرئ چې د فلټر غوښتنه وکړئ. او یا یا (په قضیه پورې تړاو لري). په نحو کې د فلټر مشخصول او د دغو بیانونو سره جلا کول، تاسو "کار" کول د یو په څیر کار کوي. په یوه بیلګه کې، داسې ښکاري:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 یا ip src 95.47.144.254
بېلګه:
د قومندان نحو څخه تاسو کولی شئ وګورئ چې موږ غواړئ چې ننداره وکړو "ټرمینل" ټول پیکټونه چې پته 95.47.144.254 ته لیږل شوي او پاکټونه د ورته پته لخوا ترالسه شوي. تاسو کولی شئ پدې بیان کې ځینې متغیرات هم بدل کړئ. د بېلګې په توګه، د IP په ځای، د HOST مشخصول یا په مستقیم ډول د پتې ځان بدلول.
د فلټر بندر او پورګریج
فلټر بندر کله چې تاسو د ځانګړو بندرونو سره د پیټټونو په اړه معلومات ترلاسه کولو لپاره اړتیا لرئ د بشپړ لپاره. نو، که تاسو یوازې د ځوابونو یا د DNS پوښتنو ته اړتیا لرئ، نو تاسو باید د Port 53 مشخص کړئ:
سوډو TCPPump -vvii PPP0 بندر 53
بېلګه:
که تاسو د http کڅوړو لیدل غواړئ، نو تاسو باید د Port 80 داخل کړئ:
sudo tcpdump -vvi ppp0 port 80
بېلګه:
د نورو شیانو په مینځ کې، دا ممکنه ده چې د بندرونو لړۍ سمدلاسه تعقیب شي. د دې کولو لپاره، فلټر تطبیق کړئ portrange:
sudo tcpdump portrange 50-80
لکه څنګه چې تاسو کولی شئ د فلټر سره ملګری شئ portrange دا ضروري نده چې اضافي انتخابونه مشخص کړي. بس رینج ټاکي.
د پروتوکول فلټر کول
تاسو کولی شئ یوازې هغه ټرافیک ښکاره کړئ چې د هر پروتوکول سره مطابقت لري. د دې کولو لپاره، د دې پروتوکول نوم د فلټر په توګه وکاروي. راځئ چې یو مثال وګورو udp:
sudo tcpdump -vvv-i ppp0 udp
بېلګه:
لکه څنګه چې تاسو کولی شئ په انځور کې وګورئ، د قوماندې اجرا کولو وروسته "ټرمینل" یوازې پروټکول ښودل شوي udp. په ورته توګه، تاسو کولی شئ د نورو لخوا فلټر کولی شئ، د بیلګې په توګه، آر پی:
sudo tcpdump -vvv-i ppp0 arp
یا tcp:
sudo tcpdump -vvv-ppp0 tcp
فلټر نیٹ
چلونکی خال د شبکې د پاکولو سره مرسته کوي چې د دوی شبکې په ډیزاین کې دي. دا د نورو په څیر کارول اسانه دي - تاسو باید په نحو کې ځانګړتیا مشخص کړئ خالبیا وروسته د شبکې پته ولیکئ. دلته د داسې یوه قوماندې مثال دی:
sudo tcpdump -i ppp0 net 192.168.1.1
بېلګه:
د کڅوړې اندازې فلټر
موږ دوه نور دلچسپ فلټرونه نه دي پېژندلي: لږ او لوی. د فلټرونو سره د میز څخه، موږ پوهیږو چې دوی د ډیټا ډیټا پیکټونو لپاره کار کوي)لږ) یا لږ (لوی) هغه اندازه چې د خاصیت وروسته داخل شوې ده مشخص شوې.
فرض کړئ موږ یوازې د پیټونو څارنه غواړو چې د 50 بیتونو څخه زیات نه وي، نو بیا به قومانده داسې ښکاري:
سوډو ټپیډمپمپ -PP0 لږ 50
بېلګه:
اوس راځی چې ننداره وکړو "ټرمینل" د 50 بټونو څخه لوی بسته
سوډو ټپیډمپپ- د PPP ډیری 50
بېلګه:
لکه څنګه چې تاسو لیدلی شئ، دوی په مساوي توګه کارول کیږي، یوازینی توپیر د فلټر په نوم دی.
پایله
د مقالې په پای کې موږ کولی شو دا ټیم پای ته ورسوو tcpdump دا یو ښه وسیله ده چې تاسو کولی شئ د انټرنېټ په واسطه لیږدول شوي ډاټا پیکټ تعقیب کړئ. مګر د دې لپاره دا بسنه نه ده چې خپل قوم ته داخل شي "ټرمینل". د مطلوب پایلې ترلاسه کولو لپاره به یواځې هغه وخت ترلاسه شي چې تاسو د هر ډول انتخابونو او فلټرونو کارولو سره، او همدارنګه د دوی ګډونوال کاروئ.
