Въведение в Tcpdump

Ако стартирате сървър, несъмнено ще стигнете до момент, в който трябва да решите някои проблеми, свързани с мрежата. Разбира се, би било лесно просто да изпратите имейл до отдела за поддръжка, но понякога трябва да си изцапате ръцете. В този случай това tcpdumpе инструментът за тази работа. Tcpdump е анализатор на мрежови пакети, който работи под командния ред.

Тази статия ще бъде разделена на три части:

• Основни характеристики.
• Филтриране въз основа на определени характеристики на трафика.
• Кратък фрагмент от по-разширените функции (като логически изрази, филтриране по TCP флагове).

Тъй като tcpdump не е включен в повечето базови системи, ще трябва да го инсталирате. Въпреки това, почти всички дистрибуции на Linux имат tcpdump в своите основни хранилища. За базирани на Debian дистрибуции, командата за инсталиране на tcpdump е:

apt-get install tcpdump

За CentOS/RedHat използвайте следната команда:

yum install tcpdump

FreeBSD предлага предварително изграден пакет, който може да бъде инсталиран чрез издаване на:

pkg install tcpdump

Наличен е и порт, net/tcpdumpкойто може да бъде инсталиран чрез:

cd /usr/ports/net/tcpdump
make install clean

Ако се кандидатирате tcpdumpбез никакви аргументи, ще бъдете очукани от резултати. Изпълнението му на току-що завъртян екземпляр тук на Vultr за по-малко от пет секунди дава следните резултати:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Преди да влезете в повече подробности за това как да филтрирате входа, трябва да разгледате някои параметри, които могат да бъдат предадени на tcpdump:

• -i- Посочва интерфейса, който искате да слушате, например: tcpdump -i eth0.
• -n- Не се опитвайте да правите обратни търсения на IP адреси, например: tcpdump -n(ако добавите друг ntcpdump ще ви покаже номера на портове вместо имена).
• -X- Показване на съдържанието на събраните пакети: tcpdump -X.
• -c- Само улавяне на xпакети, xкоето е произволно число, например tcpdump -c 10улавя точно 10 пакета.
• -v- Увеличете количеството информация за пакети, която се показва, повече vдобавят повече подробности.

Всеки от тези параметри, споменати тук, може да се комбинира заедно. Ако искате да заснемете 100 пакета, но само на вашия VPN интерфейс tun0, тогава командата tcpdump ще изглежда така:

tcpdump -i tun0 -c 100 -X

Има десетки (ако не и стотици) опции в допълнение към тези няколко, но те са най-често срещаните. Чувствайте се свободни да прочетете ръчната страница на tcpdump във вашата система.

Сега, когато имате основно разбиране за tcpdump, е време да разгледаме една от най-страхотните функции на tcpdump: изрази. Изразите ще направят живота ви много по-лесен. Те са известни още като BPF или Berkeley Packet Filters. Използването на изрази ви позволява селективно да показвате (или игнорирате) пакети въз основа на определени характеристики - като произход, дестинация, размер или дори TCP пореден номер.

Досега успяхте да ограничите търсенето си до определено количество пакети в определен интерфейс, но нека бъдем честни тук: това все още оставя твърде много фонов шум, за да работи ефективно със събраните данни. Тук влизат в действие изразите. Концепцията е доста ясна, така че ще изоставим сухата теория тук и ще подкрепим разбирането с някои практически примери.

Изразите, които вероятно ще използвате най-много са:

• host - Търсете трафик въз основа на имена на хостове или IP адреси.
• srcили dst- Потърсете трафик от или към конкретен хост.
• proto- Потърсете трафик на определен протокол. Работи за tcp, udp, icmp и други. Пропускането на protoключовата дума също е възможно.
• net - Търсете трафик към/от определен диапазон от IP адреси.
• port - Търсете трафик към/от определено пристанище.
• greaterили less- Търсете трафик, по-голям или по-малък от определено количество байтове.

Докато ръчната страница за tcpdumpсъдържа само няколко примера, тази страница за pcap-filterима много подробни обяснения за това как работи всеки филтър и може да бъде приложен.

Ако искате да видите как върви комуникацията ви с определен сървър, тогава можете да използвате hostключовата дума например (включително някои от параметрите отгоре):

tcpdump -i eth0 host vultr.com

Понякога в мрежата има компютри, които не спазват MTU или ви изпращат спам с големи пакети; филтрирането им понякога може да бъде трудно. Изразите ви позволяват да филтрирате пакети, които са по-големи или по-малки от определен брой байтове:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Може би само определено пристанище представлява интерес за вас. В този случай използвайте portизраза:

tcpdump -i eth0 -X port 21

Можете също да търсите диапазони на портове:

tcdump -i eth0 -X portrange 22-25

Тъй като NAT шлюзовете са доста често срещани, можете да търсите само портове на местоназначение:

tcpdump dst port 80

Ако гледате трафик към вашия уеб сървър, може да искате да разгледате само TCP трафика към порт 80:

tcpdump tcp and dst port 80

Вероятно се питате какво прави ключовата дума andтам. Добър въпрос. Това ни води до последната част на тази статия.

tcpdump предлага основна поддръжка за логически изрази, по-конкретно:

• and/ &&- Логическо "и".
• or/ ||- Логическо "или".
• not/ !- Логично "не".

Заедно с възможността за групиране на изрази заедно, това ви позволява да създавате много мощни търсения за входящ и изходящ трафик. Така че нека филтрираме трафика, идващ от vultr.com на порт 22 или 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Изпълнението на това в командния ред ще ви даде следната грешка:

bash: syntax error near unexpected token `('

Това е така, защото има едно предупреждение: bashопитва се да оцени всеки герой, който може. Това включва (и )знаците. За да избегнете тази грешка, трябва да използвате единични кавички около комбинирания израз:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Друг полезен пример: Когато отстранявате грешки в SSH проблеми с един от вашите потребители, може да искате да игнорирате всичко, което е свързано с вашата SSH сесия:

tcpdump '!(host $youripaddress) && port 22)'

Отново, случаите на употреба са безкрайни и можете да посочите в изключителни дълбочини какъв трафик искате да видите. Следната команда ще ви покаже само SYNACK пакети от TCP ръкостискане:

tcpdump -i eth0 'tcp[13]=18'

Това работи, като се погледне тринадесетото отместване на TCP заглавката и осемнадесетия байт в него.

Ако сте стигнали до тук, значи сте готови за повечето случаи на употреба, които ще възникнат. Едва мога да докосна повърхността, без да навлизам в твърде много подробности. Силно препоръчвам да експериментирате с различните опции и изрази малко по-нататък; и както обикновено: препратете към ръчната страница, когато се изгубите.

Не на последно място – бърз поглед назад. Помните ли началото на тази статия? С хилядите пакети, уловени за броени секунди? Силата на tcpdumpможе да намали това много:

tcpdump -i eth0 tcp port 22

Резултатът е сега:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Това е много по-разумно и по-лесно за отстраняване на грешки. Приятна работа в мрежа!