Úvod do Tcpdump

Ak prevádzkujete server, nepochybne sa dostanete do bodu, keď budete musieť vyriešiť niektoré problémy súvisiace so sieťou. Samozrejme, bolo by jednoduché poslať e-mail na oddelenie podpory, ale niekedy si musíte zašpiniť ruky. V tomto prípade tcpdumpje to nástroj na túto prácu. Tcpdump je sieťový analyzátor paketov, ktorý beží pod príkazovým riadkom.

Tento článok bude rozdelený do troch častí:

• Základné vlastnosti.
• Filtrovanie na základe určitých charakteristík návštevnosti.
• Krátky úryvok pokročilejších funkcií (ako sú logické výrazy, filtrovanie podľa príznakov TCP).

Keďže tcpdump nie je súčasťou väčšiny základných systémov, budete si ho musieť nainštalovať. Takmer všetky distribúcie Linuxu však majú tcpdump vo svojich základných archívoch. Pre distribúcie založené na Debiane je príkaz na inštaláciu tcpdump:

apt-get install tcpdump

Pre CentOS/RedHat použite nasledujúci príkaz:

yum install tcpdump

FreeBSD ponúka vopred zostavený balík, ktorý je možné nainštalovať vydaním:

pkg install tcpdump

K dispozícii je aj port, net/tcpdumpktorý je možné nainštalovať pomocou:

cd /usr/ports/net/tcpdump
make install clean

Ak budete bežať tcpdumpbez akýchkoľvek argumentov, budete zbití výsledkami. Spustenie na čerstvo roztočenej inštancii tu na Vultr na menej ako päť sekúnd poskytuje nasledujúce výsledky:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Predtým, ako prejdete do ďalších podrobností o tom, ako filtrovať vstup, mali by ste sa pozrieť na niektoré parametre, ktoré možno odovzdať tcpdump:

• -i- Určuje rozhranie, na ktorom chcete počúvať, napríklad: tcpdump -i eth0.
• -n- Nepokúšajte sa vykonávať spätné vyhľadávanie adries IP, napríklad: tcpdump -n(ak pridáte ďalší ntcpdump, namiesto mien vám ukáže čísla portov).
• -X- Zobraziť obsah zozbieraných paketov: tcpdump -X.
• -c- Zachytáva iba xpakety, xpričom ide o ľubovoľný počet, napríklad tcpdump -c 10zachytí presne 10 paketov.
• -v- Zvýšte množstvo informácií o paketoch, ktoré sa vám zobrazujú, viac vs pridá viac výrečnosti.

Každý z týchto parametrov je možné kombinovať. Ak by ste chceli zachytiť 100 paketov, ale iba na vašom rozhraní VPN tun0, príkaz tcpdump by vyzeral takto:

tcpdump -i tun0 -c 100 -X

Okrem týchto niekoľkých možností existujú desiatky (ak nie stovky), no sú to tie najbežnejšie. Neváhajte a prečítajte si manuálovú stránku tcpdump vo svojom systéme.

Teraz, keď máte základné znalosti o tcpdump, je čas pozrieť sa na jednu z najúžasnejších funkcií tcpdump: výrazy. Výrazy vám výrazne uľahčia život. Sú tiež známe ako BPF alebo Berkeley Packet Filters. Používanie výrazov vám umožňuje selektívne zobrazovať (alebo ignorovať) pakety na základe určitých charakteristík – ako je pôvod, cieľ, veľkosť alebo dokonca poradové číslo TCP.

Zatiaľ sa vám podarilo obmedziť vyhľadávanie na určitý počet paketov na určitom rozhraní, ale buďme úprimní: stále to ponecháva príliš veľa hluku na pozadí na efektívnu prácu so zozbieranými údajmi. Tu prichádzajú na rad výrazy. Koncept je celkom jednoduchý, takže tu vynecháme suchú teóriu a podporíme pochopenie niekoľkými praktickými príkladmi.

Výrazy, ktoré budete pravdepodobne používať najčastejšie, sú:

• host - Hľadajte návštevnosť na základe názvov hostiteľov alebo adries IP.
• srcalebo dst- Vyhľadajte návštevnosť z alebo na konkrétneho hostiteľa.
• proto- Vyhľadajte návštevnosť určitého protokolu. Funguje pre tcp, udp, icmp a ďalšie. protoJe tiež možné kľúčové slovo vynechať .
• net - Vyhľadajte návštevnosť z určitého rozsahu adries IP.
• port - Vyhľadajte premávku do/z určitého prístavu.
• greateralebo less- Hľadajte prenos väčší alebo menší ako určitý počet bajtov.

Zatiaľ čo manuálová stránka tcpdumpobsahuje len niekoľko príkladov, manuálová stránka pcap-filtermá veľmi podrobné vysvetlenia, ako jednotlivé filtre fungujú a ako ich možno použiť.

Ak chcete vidieť, ako prebieha vaša komunikácia s určitým serverom, môžete použiť napríklad hostkľúčové slovo (vrátane niektorých vyššie uvedených parametrov):

tcpdump -i eth0 host vultr.com

Niekedy sú v sieti počítače, ktoré nerešpektujú MTU alebo vás spamujú veľkými paketmi; ich odfiltrovanie môže byť niekedy ťažké. Výrazy vám umožňujú odfiltrovať balíčky, ktoré sú väčšie alebo menšie ako určitý počet bajtov:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Možno je pre vás zaujímavý len určitý prístav. V tomto prípade použite portvýraz:

tcpdump -i eth0 -X port 21

Môžete sa tiež pozrieť na rozsahy portov:

tcdump -i eth0 -X portrange 22-25

Keďže brány NAT sú pomerne bežné, môžete hľadať iba cieľové porty:

tcpdump dst port 80

Ak sledujete návštevnosť vášho webového servera, možno sa budete chcieť pozrieť iba na prenos TCP na port 80:

tcpdump tcp and dst port 80

Pravdepodobne sa sami seba pýtate, čo tam kľúčové slovo androbí. Dobrá otázka. To nás privádza k poslednej časti tohto článku.

tcpdump ponúka základnú podporu pre logické výrazy, konkrétnejšie:

• and/ &&- Logické "a".
• or/ ||- Logické "alebo".
• not/ !- Logické "nie".

Spolu so schopnosťou zoskupovať výrazy vám to umožňuje vytvárať veľmi výkonné vyhľadávania prichádzajúcej a odchádzajúcej návštevnosti. Poďme teda odfiltrovať návštevnosť prichádzajúcu z vultr.com na porte 22 alebo 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Ak to spustíte na príkazovom riadku, zobrazí sa nasledujúca chyba:

bash: syntax error near unexpected token `('

Je to preto, že existuje varovanie: bashsnaží sa ohodnotiť každú postavu, ktorú môže. To zahŕňa znaky (a ). Aby ste sa vyhli tejto chybe, mali by ste použiť jednoduché úvodzovky okolo kombinovaného výrazu:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Ďalší užitočný príklad: Pri ladení problémov s SSH s jedným z vašich používateľov možno budete chcieť ignorovať všetko, čo súvisí s vašou reláciou SSH:

tcpdump '!(host $youripaddress) && port 22)'

Opäť platí, že prípady použitia sú nekonečné a môžete do extrémnych hĺbok špecifikovať, aký druh návštevnosti chcete vidieť. Nasledujúci príkaz vám ukáže iba SYNACK pakety TCP handshake:

tcpdump -i eth0 'tcp[13]=18'

Funguje to tak, že sa pozriete na trinásty offset hlavičky TCP a osemnásty bajt v nej.

Ak ste sa dostali až sem, ste pripravení na väčšinu prípadov použitia, ktoré nastanú. Sotva sa môžem dotknúť povrchu bez toho, aby som zachádzal do príliš veľa detailov. Dôrazne vám odporúčam experimentovať s rôznymi možnosťami a výrazmi o niečo ďalej; a ako obvykle: keď sa stratíte, pozrite si manuálovú stránku.

V neposlednom rade – rýchly pohľad späť. Pamätáte si začiatok tohto článku? S tisíckami paketov zachytených v priebehu niekoľkých sekúnd? Sila to tcpdumpmôže výrazne znížiť:

tcpdump -i eth0 tcp port 22

Výsledok je teraz:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Toto je oveľa rozumnejšie a ľahšie sa ladí. Šťastné vytváranie sietí!