Introduktion till Tcpdump

Om du kör en server kommer du utan tvekan att komma till en punkt där du behöver reda ut några nätverksrelaterade problem. Naturligtvis skulle det vara lätt att bara skicka ett mail till supportavdelningen, men ibland behöver man smutsa ner händerna. I det här fallet tcpdumpär verktyget för det jobbet. Tcpdump är en nätverkspaketanalysator som körs under kommandoraden.

Den här artikeln kommer att delas upp i tre delar:

• Grundläggande funktioner.
• Filtrering baserat på vissa trafikegenskaper.
• Ett kort utdrag av de mer avancerade funktionerna (som logiska uttryck, filtrering med TCP-flaggor).

Eftersom tcpdump inte ingår i de flesta bassystem måste du installera det. Men nästan alla Linux-distributioner har tcpdump i sina kärnlager. För Debianbaserade distributioner är kommandot för att installera tcpdump:

apt-get install tcpdump

För CentOS/RedHat, använd följande kommando:

yum install tcpdump

FreeBSD erbjuder ett förbyggt paket som kan installeras genom att utfärda:

pkg install tcpdump

Det finns också en port tillgänglig, net/tcpdumpsom kan installeras via:

cd /usr/ports/net/tcpdump
make install clean

Om du kör tcpdumputan några argument, kommer du att bli misshandlad med resultat. Att köra den på en nyuppspelad instans här på Vultr i mindre än fem sekunder ger följande resultat:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Innan du går in på mer detaljer om hur du filtrerar indata, bör du ta en titt på några parametrar som kan skickas till tcpdump:

• -i- Anger vilket gränssnitt du vill lyssna på, till exempel: tcpdump -i eth0.
• -n- Försök inte göra omvända sökningar på IP-adresser, till exempel: tcpdump -n(om du lägger till en annan nkommer tcpdump att visa dig portnummer istället för namn).
• -X- Visa innehållet i de insamlade paketen: tcpdump -X.
• -c- Endast fånga xpaket, som xär ett godtyckligt nummer, tcpdump -c 10fångar till exempel exakt 10 paket.
• -v- Öka mängden paketinformation du visas, fler vs lägg till mer utförlighet.

Var och en av de parametrar som nämns här kan kombineras. Om du ville fånga 100 paket, men bara på ditt VPN-gränssnitt tun0, skulle tcpdump-kommandot se ut så här:

tcpdump -i tun0 -c 100 -X

Det finns dussintals (om inte hundratals) alternativ utöver de få, men de är de vanligaste. Läs gärna tcpdumps manpage på ditt system.

Nu när du har en grundläggande förståelse för tcpdump är det dags att titta på en av tcpdumps mest fantastiska funktioner: uttryck. Uttryck kommer att göra ditt liv mycket enklare. De är också kända som BPF eller Berkeley Packet Filter. Genom att använda uttryck kan du selektivt visa (eller ignorera) paket baserat på vissa egenskaper - såsom ursprung, destination, storlek eller till och med TCP-sekvensnummer.

Hittills har du lyckats begränsa din sökning till en viss mängd paket på ett visst gränssnitt, men låt oss vara ärliga här: det lämnar fortfarande för mycket bakgrundsljud för att effektivt kunna arbeta med den insamlade datan. Det är där uttryck spelar in. Konceptet är ganska okomplicerat, så vi utelämnar den torra teorin här och stödjer förståelsen med några praktiska exempel.

De uttryck som du förmodligen kommer att använda mest är:

• host - Leta efter trafik baserat på värdnamn eller IP-adresser.
• srceller dst- Leta efter trafik från eller till en specifik värd.
• proto- Leta efter trafik av ett visst protokoll. Fungerar för tcp, udp, icmp och andra. Att utelämna protonyckelordet är också möjligt.
• net - Leta efter trafik till/från ett visst antal IP-adresser.
• port - Leta efter trafik till/från en viss hamn.
• greatereller less- Leta efter trafik som är större eller mindre än en viss mängd byte.

Även om mansidan för tcpdumpbara innehåller några få exempel, har mansidan för pcap-filtermycket detaljerade förklaringar om hur varje filter fungerar och kan tillämpas.

Om du vill se hur din kommunikation med en viss server går kan du till exempel använda hostnyckelordet (inklusive några av parametrarna ovan):

tcpdump -i eth0 host vultr.com

Ibland finns det datorer i nätverket som inte hedrar MTU:n eller spammar dig med stora paket; att filtrera bort dem kan ibland vara svårt. Med uttryck kan du filtrera bort paket som är större eller mindre än ett visst antal byte:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Kanske bara en viss hamn är av intresse för dig. Använd i det här fallet portuttrycket:

tcpdump -i eth0 -X port 21

Du kan också hålla utkik efter portintervall:

tcdump -i eth0 -X portrange 22-25

Eftersom NAT-gateways är ganska vanliga, kan du bara leta efter destinationsportar:

tcpdump dst port 80

Om du tittar på trafik till din webbserver kanske du bara vill titta på TCP-trafik till port 80:

tcpdump tcp and dst port 80

Du frågar dig förmodligen vad sökordet andgör där. Bra fråga. Det för oss till den sista delen av denna artikel.

tcpdump erbjuder grundläggande stöd för logiska uttryck, mer specifikt:

• and/ &&- Logiskt "och".
• or/ ||- Logiskt "eller".
• not/ !- Logiskt "inte".

Tillsammans med möjligheten att gruppera uttryck gör detta att du kan skapa mycket kraftfulla sökningar efter inkommande och utgående trafik. Så låt oss filtrera bort trafik som kommer från vultr.com på port 22 eller 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Om du kör detta på kommandoraden får du följande fel:

bash: syntax error near unexpected token `('

Det beror på att det finns en varning: bashförsöker utvärdera varje karaktär den kan. Detta inkluderar (och )tecken. För att undvika det felet bör du använda enstaka citattecken runt det kombinerade uttrycket:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Ett annat användbart exempel: När du felsöker SSH-problem med en av dina användare, kanske du vill ignorera allt som är relaterat till din SSH-session:

tcpdump '!(host $youripaddress) && port 22)'

Återigen, användningsfallen är oändliga, och du kan specificera i extrema djup vilken typ av trafik du vill se. Följande kommando skulle bara visa dig SYNACK-paket av en TCP-handskakning:

tcpdump -i eth0 'tcp[13]=18'

Detta fungerar genom att titta på den trettonde förskjutningen av TCP-huvudet och den artonde byten i den.

Om du har tagit dig hela vägen hit är du redo för de flesta användningsfall som kommer att dyka upp. Jag kan knappt röra ytan utan att gå in på för många detaljer. Jag rekommenderar starkt att du experimenterar med de olika alternativen och uttrycken lite längre; och som vanligt: ​​referera till manpagen när du går vilse.

Sist men inte minst – en snabb tillbakablick. Kommer du ihåg början av den här artikeln? Med de tusentals paket som fångats på några sekunder? Kraften i tcpdumpkan trimma ner det en hel del:

tcpdump -i eth0 tcp port 22

Resultatet är nu:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Detta är mycket sundare och lättare att felsöka. Glad nätverkande!