Johdatus Tcpdumpiin

Jos käytät palvelinta, pääset epäilemättä pisteeseen, jossa sinun täytyy naulata joitain verkkoon liittyviä ongelmia. Tietysti olisi helppoa lähettää postia tukiosastolle, mutta joskus sinun täytyy likaa kätesi. Tässä tapauksessa se tcpdumpon työkalu kyseiseen työhön. Tcpdump on verkkopakettianalysaattori, joka toimii komentorivin alla.

Tämä artikkeli jaetaan kolmeen osaan:

• Perusominaisuudet.
• Suodatus tiettyjen liikenneominaisuuksien perusteella.
• Lyhyt pätkä edistyneemmistä ominaisuuksista (kuten loogiset lausekkeet, suodatus TCP-lippujen mukaan).

Koska tcpdump ei sisälly useimpiin perusjärjestelmiin, sinun on asennettava se. Kuitenkin lähes kaikissa Linux-jakeluissa on tcpdump ydinvarastoissaan. Debian-pohjaisissa jakeluissa tcpdump-asennuksen komento on:

apt-get install tcpdump

Käytä CentOS/RedHatille seuraavaa komentoa:

yum install tcpdump

FreeBSD tarjoaa valmiiksi rakennetun paketin, joka voidaan asentaa julkaisemalla:

pkg install tcpdump

Saatavilla on myös portti, net/tcpdumpjoka voidaan asentaa seuraavasti:

cd /usr/ports/net/tcpdump
make install clean

Jos juokset tcpdumpilman argumentteja, tulet olemaan tulosten lyöty. Sen ajaminen juuri käännetyssä ilmentymässä täällä Vultrissa alle viiden sekunnin ajan antaa seuraavat tulokset:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Ennen kuin siirryt lisätietoihin syötteen suodattamisesta, sinun tulee tarkastella joitain parametreja, jotka voidaan siirtää tcpdumpiin:

• -i- Määrittää käyttöliittymän, jota haluat kuunnella, esimerkiksi: tcpdump -i eth0.
• -n- Älä yritä tehdä käänteisiä hakuja IP-osoitteista, esimerkiksi: tcpdump -n(jos lisäät toisen ntcpdump näyttää porttinumerot nimien sijaan).
• -X- Näytä kerättyjen pakettien sisältö: tcpdump -X.
• -c- Vain kaappaa xpaketteja, xkoska se on mielivaltainen luku, esimerkiksi tcpdump -c 10kaappaa täsmälleen 10 pakettia.
• -v- Lisää sinulle näytettävän pakettitiedon määrää, lisää vs lisää sanallisuutta.

Jokainen näistä tässä mainituista parametreista voidaan yhdistää yhteen. Jos halusit kaapata 100 pakettia, mutta vain VPN-rajapinnalla tun0, tcpdump-komento näyttää tältä:

tcpdump -i tun0 -c 100 -X

Vaihtoehtoja on kymmeniä (ellei satoja) näiden muutamien lisäksi, mutta ne ovat yleisimmät. Voit vapaasti lukea tcpdumpin ohjesivua järjestelmästäsi.

Nyt kun sinulla on perusymmärrys tcpdumpista, on aika tarkastella yhtä tcpdumpin upeimmista ominaisuuksista: lausekkeita. Ilmaisut helpottavat elämääsi paljon. Ne tunnetaan myös nimellä BPF tai Berkeley Packet Filters. Lausekkeiden avulla voit valikoivasti näyttää (tai jättää huomiotta) paketteja tiettyjen ominaisuuksien, kuten alkuperän, määränpään, koon tai jopa TCP-sekvenssinumeron, perusteella.

Toistaiseksi olet onnistunut rajoittamaan haun tiettyyn määrään paketteja tietyssä käyttöliittymässä, mutta olkaamme rehellisiä: se jättää silti liian paljon taustamelua, jotta kerätyt tiedot toimivat tehokkaasti. Siellä ilmaisut tulevat peliin. Konsepti on melko suoraviivainen, joten jätämme kuivan teorian pois tästä ja tuemme ymmärtämistä muutamilla käytännön esimerkeillä.

Ilmaukset, joita käytät luultavasti eniten, ovat:

• host - Etsi liikennettä isäntänimien tai IP-osoitteiden perusteella.
• srctai dst- Etsi liikennettä tietystä isännästä tai sinne.
• proto- Etsi tietyn protokollan liikennettä. Toimii tcp:lle, udp:lle, icmp:lle ja muille. Myös protoavainsanan poisjättäminen on mahdollista.
• net - Etsi liikennettä tietylle IP-osoitteille / tietyistä IP-osoitteista.
• port - Etsi liikennettä tiettyyn satamaan / tiettyyn satamaan.
• greatertai less- Etsi liikennettä, joka on suurempi tai pienempi kuin tietty määrä tavuja.

Manpage tcpdumpsisältää vain muutamia esimerkkejä, mutta sen manpage pcap-filtersisältää erittäin yksityiskohtaiset selitykset kunkin suodattimen toiminnasta ja käytöstä.

Jos haluat nähdä, miten viestintäsi tietyn palvelimen kanssa sujuu, voit käyttää esimerkiksi hostavainsanaa (mukaan lukien jotkin ylhäältä annetut parametrit):

tcpdump -i eth0 host vultr.com

Joskus verkossa on tietokoneita, jotka eivät kunnioita MTU:ta tai lähettävät sinulle roskapostia suurilla paketeilla; niiden suodattaminen voi joskus olla vaikeaa. Lausekkeiden avulla voit suodattaa pois paketit, jotka ovat suurempia tai pienempiä kuin tietty määrä tavuja:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Ehkä vain tietty portti kiinnostaa sinua. Käytä tässä tapauksessa portlauseketta:

tcpdump -i eth0 -X port 21

Voit myös tarkkailla porttialueita:

tcdump -i eth0 -X portrange 22-25

Koska NAT-yhdyskäytävät ovat melko yleisiä, voit etsiä vain kohdeportteja:

tcpdump dst port 80

Jos katsot liikennettä verkkopalvelimellesi, haluat ehkä tarkastella vain TCP-liikennettä porttiin 80:

tcpdump tcp and dst port 80

Kysyt luultavasti itseltäsi, mitä avainsana andtekee siellä. Hyvä kysymys. Tästä pääsemme tämän artikkelin viimeiseen osaan.

tcpdump tarjoaa perustuen loogisille lausekkeille, tarkemmin sanottuna:

• and/ &&- Looginen "ja".
• or/ ||- Looginen "tai".
• not/ !- Looginen "ei".

Yhdessä ilmaisujen ryhmittelykyvyn kanssa tämän avulla voit luoda erittäin tehokkaita hakuja saapuvalle ja lähtevälle liikenteelle. Suodatetaan siis liikenne, joka tulee vultr.comista portista 22 tai 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Tämän suorittaminen komentorivillä antaa sinulle seuraavan virheilmoituksen:

bash: syntax error near unexpected token `('

Tämä johtuu siitä, että siinä on varoitus: bashyrittää arvioida jokaisen hahmonsa. Tämä sisältää (ja )merkit. Tämän virheen välttämiseksi sinun tulee käyttää yksittäisiä lainausmerkkejä yhdistetyn lausekkeen ympärillä:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Toinen hyödyllinen esimerkki: Kun etsit SSH-ongelmia jonkun käyttäjän kanssa, voit jättää huomioimatta kaiken, mikä liittyy SSH-istuntoosi:

tcpdump '!(host $youripaddress) && port 22)'

Käyttötapauksia on jälleen loputtomasti, ja voit määrittää äärimmäisiin syvyyksiin, millaista liikennettä haluat nähdä. Seuraava komento näyttää sinulle vain TCP-kättelyn SYNACK-paketit:

tcpdump -i eth0 'tcp[13]=18'

Tämä toimii tarkastelemalla TCP-otsikon 13. siirtymää ja sen sisällä olevaa kahdeksastoista tavua.

Jos olet päässyt tähän loppuun, olet valmis useimpiin käyttötapauksiin. Voin tuskin koskettaa pintaa menemättä liian moniin yksityiskohtiin. Suosittelen, että kokeilet eri vaihtoehtoja ja ilmaisuja hieman pidemmälle; ja kuten tavallista: viittaa mansivulle, kun eksyt.

Viimeisenä mutta ei vähäisimpänä - nopea katse taaksepäin. Muistatko tämän artikkelin alun? Tuhannet paketit kaapataan muutamassa sekunnissa? Teho tcpdumpvoi leikata sitä paljon:

tcpdump -i eth0 tcp port 22

Tulos on nyt:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Tämä on paljon järkevämpää ja helpompi korjata. Hyvää verkostoitumista!