Úvod do Tcpdump

Pokud provozujete server, nepochybně se dostanete do bodu, kdy budete muset vyřešit některé problémy související se sítí. Samozřejmě by bylo snadné poslat e-mail na oddělení podpory, ale někdy je potřeba si ušpinit ruce. V tomto případě tcpdumpje to nástroj pro tuto práci. Tcpdump je síťový analyzátor paketů, který běží na příkazovém řádku.

Tento článek bude rozdělen do tří částí:

• Základní vlastnosti.
• Filtrování na základě určitých charakteristik provozu.
• Krátký úryvek pokročilejších funkcí (jako jsou logické výrazy, filtrování podle příznaků TCP).

Protože tcpdump není součástí většiny základních systémů, budete jej muset nainstalovat. Téměř všechny linuxové distribuce však mají tcpdump ve svých základních repozitářích. Pro distribuce založené na Debianu je příkaz k instalaci tcpdump:

apt-get install tcpdump

Pro CentOS/RedHat použijte následující příkaz:

yum install tcpdump

FreeBSD nabízí předpřipravený balíček, který lze nainstalovat vydáním:

pkg install tcpdump

K dispozici je také port, net/tcpdumpkterý lze nainstalovat pomocí:

cd /usr/ports/net/tcpdump
make install clean

Pokud spustíte tcpdumpbez jakýchkoli argumentů, budete biti s výsledky. Spuštění na čerstvě roztočené instanci zde na Vultru po dobu kratší než pět sekund dává následující výsledky:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Než se pustíte do dalších podrobností o tom, jak filtrovat vstup, měli byste se podívat na některé parametry, které lze předat tcpdump:

• -i- Určuje rozhraní, na kterém chcete poslouchat, například: tcpdump -i eth0.
• -n- Nepokoušejte se provádět zpětné vyhledávání na IP adresách, například: tcpdump -n(pokud přidáte další ntcpdump, zobrazí vám čísla portů místo jmen).
• -X- Zobrazit obsah shromážděných paketů: tcpdump -X.
• -c- Zachyťte pouze xpakety, xcož je libovolný počet, například tcpdump -c 10zachytí přesně 10 paketů.
• -v- Zvyšte množství informací o paketech, které se vám zobrazují, více vs přidá více upovídanosti.

Každý ze zde uvedených parametrů lze kombinovat. Pokud byste chtěli zachytit 100 paketů, ale pouze na vašem VPN rozhraní tun0, pak by příkaz tcpdump vypadal takto:

tcpdump -i tun0 -c 100 -X

Kromě těch několika možností existují desítky (ne-li stovky), ale jsou to ty nejběžnější. Neváhejte a přečtěte si manuálovou stránku tcpdump na vašem systému.

Nyní, když máte základní znalosti o tcpdump, je čas podívat se na jednu z nejúžasnějších funkcí tcpdump: výrazy. Výrazy vám hodně usnadní život. Jsou také známé jako BPF nebo Berkeley Packet Filters. Použití výrazů umožňuje selektivně zobrazovat (nebo ignorovat) pakety na základě určitých charakteristik – jako je původ, cíl, velikost nebo dokonce sekvenční číslo TCP.

Doposud se vám dařilo omezit vyhledávání na určité množství paketů na určitém rozhraní, ale buďme upřímní: stále to zanechává příliš mnoho šumu na pozadí, aby bylo možné efektivně pracovat se shromážděnými daty. Tam vstupují do hry výrazy. Koncept je docela přímočarý, takže zde vynecháme suchou teorii a podpoříme pochopení několika praktickými příklady.

Výrazy, které budete pravděpodobně používat nejčastěji, jsou:

• host - Hledejte provoz na základě názvů hostitelů nebo IP adres.
• srcnebo dst- Vyhledejte provoz z nebo na konkrétního hostitele.
• proto- Vyhledejte provoz určitého protokolu. Funguje pro tcp, udp, icmp a další. protoKlíčové slovo je také možné vynechat .
• net - Hledejte provoz do/z určitého rozsahu IP adres.
• port - Hledejte provoz do/z určitého portu.
• greaternebo less- Hledejte provoz větší nebo menší než určitý počet bajtů.

Zatímco manuálová stránka pro tcpdumpobsahuje jen několik příkladů, manuálová stránka pro pcap-filtermá velmi podrobné vysvětlení toho, jak jednotlivé filtry fungují a jak je lze použít.

Pokud chcete vidět, jak probíhá vaše komunikace s určitým serverem, můžete použít například hostklíčové slovo (včetně některých výše uvedených parametrů):

tcpdump -i eth0 host vultr.com

Někdy jsou v síti počítače, které nerespektují MTU nebo vás spamují velkými pakety; jejich odfiltrování může být někdy obtížné. Výrazy vám umožňují odfiltrovat balíčky, které jsou větší nebo menší než určitý počet bajtů:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Možná je pro vás zajímavý pouze určitý přístav. V tomto případě použijte portvýraz:

tcpdump -i eth0 -X port 21

Můžete se také podívat na rozsahy portů:

tcdump -i eth0 -X portrange 22-25

Protože brány NAT jsou docela běžné, můžete hledat pouze cílové porty:

tcpdump dst port 80

Pokud sledujete provoz na svém webovém serveru, možná se budete chtít podívat pouze na provoz TCP na portu 80:

tcpdump tcp and dst port 80

Pravděpodobně se ptáte sami sebe, co tam klíčové slovo anddělá. Dobrá otázka. Tím se dostáváme k poslední části tohoto článku.

tcpdump nabízí základní podporu pro logické výrazy, konkrétněji:

• and/ &&- Logické "a".
• or/ ||- Logické "nebo".
• not/ !- Logické "ne".

Spolu s možností seskupovat výrazy dohromady vám to umožňuje vytvářet velmi výkonné vyhledávání příchozích a odchozích provozů. Pojďme tedy odfiltrovat provoz přicházející z vultr.com na portu 22 nebo 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Spuštěním na příkazovém řádku se zobrazí následující chyba:

bash: syntax error near unexpected token `('

Je to proto, že existuje varování: bashsnaží se ohodnotit každou postavu, kterou může. To zahrnuje znaky (a ). Abyste se této chybě vyhnuli, měli byste kolem kombinovaného výrazu používat jednoduché uvozovky:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Další užitečný příklad: Při ladění problémů s SSH u jednoho z vašich uživatelů možná budete chtít ignorovat vše, co souvisí s vaší relací SSH:

tcpdump '!(host $youripaddress) && port 22)'

Opět platí, že případy použití jsou nekonečné a můžete do extrémní hloubky specifikovat, jaký druh provozu chcete vidět. Následující příkaz vám ukáže pouze SYNACK pakety TCP handshake:

tcpdump -i eth0 'tcp[13]=18'

Funguje to tak, že se podíváte na třináctý offset hlavičky TCP a osmnáctý bajt v ní.

Pokud jste se dostali až sem, jste připraveni na většinu případů použití, které nastanou. Sotva se dotknu povrchu, aniž bych zacházel do příliš mnoha detailů. Velmi doporučuji, abyste experimentovali s různými možnostmi a výrazy o něco dále; a jako obvykle: když se ztratíte, podívejte se na manuálovou stránku.

V neposlední řadě – rychlé ohlédnutí. Pamatujete si začátek tohoto článku? S tisíci pakety zachycenými během několika sekund? Síla to tcpdumpmůže hodně snížit:

tcpdump -i eth0 tcp port 22

Výsledek je nyní:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

To je mnohem rozumnější a snáze se to ladí. Šťastné vytváření sítí!