Знайомство з Tcpdump

Якщо ви запустите сервер, ви, безсумнівно, досягнете точки, коли вам потрібно буде вирішити деякі проблеми, пов’язані з мережею. Звичайно, було б легко просто відправити лист у службу підтримки, але іноді потрібно забруднити руки. У цьому випадку tcpdumpце інструмент для цієї роботи. Tcpdump — це аналізатор мережевих пакетів, який працює з командного рядка.

Ця стаття буде розділена на три частини:

• Основні особливості.
• Фільтрація на основі певних характеристик трафіку.
• Короткий фрагмент більш розширених функцій (наприклад, логічні вирази, фільтрація за прапорами TCP).

Оскільки tcpdump не входить до складу більшості базових систем, вам потрібно буде його встановити. Однак майже всі дистрибутиви Linux мають tcpdump у своїх основних сховищах. Для дистрибутивів на базі Debian команда для встановлення tcpdump:

apt-get install tcpdump

Для CentOS/RedHat скористайтеся такою командою:

yum install tcpdump

FreeBSD пропонує готовий пакет, який можна встановити, видавши:

pkg install tcpdump

Також доступний порт, net/tcpdumpякий можна встановити за допомогою:

cd /usr/ports/net/tcpdump
make install clean

Якщо ви будете бігати tcpdumpбез жодних аргументів, ви будете побиті результатами. Запуск його на щойно розгорнутому екземплярі тут, на Vultr менше ніж за п’ять секунд, дає такі результати:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Перш ніж перейти до більш детальної інформації про те, як фільтрувати введення, ви повинні поглянути на деякі параметри, які можна передати tcpdump:

• -i- Визначає інтерфейс, який ви хочете слухати, наприклад: tcpdump -i eth0.
• -n- Не намагайтеся виконувати зворотний пошук IP-адрес, наприклад: tcpdump -n(якщо ви додасте інший ntcpdump, замість імен відображатиметься номер порту).
• -X- Показати вміст зібраних пакетів: tcpdump -X.
• -c- Захоплювати лише xпакети, xбудучи довільним числом, наприклад, tcpdump -c 10захоплює рівно 10 пакетів.
• -v- Збільште кількість інформації про пакети, яку ви показуєте, vдодайте більше докладності.

Кожен із зазначених тут параметрів можна комбінувати разом. Якщо ви хочете захопити 100 пакетів, але тільки на своєму інтерфейсі VPN tun0, то команда tcpdump виглядатиме так:

tcpdump -i tun0 -c 100 -X

Існують десятки (якщо не сотні) варіантів на додаток до цих кількох, але вони є найпоширенішими. Не соромтеся читати сторінку керівництва tcpdump у вашій системі.

Тепер, коли ви маєте базове розуміння tcpdump, настав час поглянути на одну з найбільш чудових функцій tcpdump: вирази. Вирази значно полегшать ваше життя. Вони також відомі як BPF або Berkeley Packet Filters. Використання виразів дозволяє вибірково відображати (або ігнорувати) пакети на основі певних характеристик, таких як джерело, призначення, розмір або навіть порядковий номер TCP.

Поки що вам вдавалося обмежити свій пошук певною кількістю пакетів у певному інтерфейсі, але давайте будемо чесними: це все одно залишає занадто багато фонового шуму для ефективної роботи зі зібраними даними. Ось тут і вступають в гру вирази. Концепція досить проста, тому ми залишимо тут суху теорію і підкріпимо розуміння деякими практичними прикладами.

Вирази, які ви, ймовірно, будете використовувати найчастіше:

• host - Шукайте трафік на основі імен хостів або IP-адрес.
• srcабо dst- Пошук трафіку від або до певного хосту.
• proto- Шукайте трафік певного протоколу. Працює для tcp, udp, icmp та інших. protoТакож можна пропустити ключове слово.
• net - Шукайте трафік до/з певного діапазону IP-адрес.
• port - Шукайте трафік до/з певного порту.
• greaterабо less- Шукайте трафік, більший або менший за певну кількість байтів.

Хоча сторінка керівництва для tcpdumpмістить лише кілька прикладів, сторінка керівництва for pcap-filterмістить дуже докладні пояснення щодо того, як кожен фільтр працює та може бути застосований.

Якщо ви хочете побачити, як відбувається ваш зв’язок з певним сервером, ви можете використовувати hostключове слово, наприклад (включаючи деякі параметри зверху):

tcpdump -i eth0 host vultr.com

Іноді в мережі є комп’ютери, які не відповідають MTU або надсилають вам великі пакети; відфільтрувати їх іноді може бути важко. Вирази дозволяють відфільтрувати пакети, які більші або менші за певну кількість байтів:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Можливо, вас цікавить лише певний порт. У цьому випадку скористайтеся portвиразом:

tcpdump -i eth0 -X port 21

Ви також можете звернути увагу на діапазони портів:

tcdump -i eth0 -X portrange 22-25

Оскільки шлюзи NAT досить поширені, ви можете шукати лише порти призначення:

tcpdump dst port 80

Якщо ви спостерігаєте за трафіком свого веб-сервера, ви можете подивитися лише на трафік TCP до порту 80:

tcpdump tcp and dst port 80

Ви, напевно, запитаєте себе, що andтам робить ключове слово . Гарне питання. Це підводить нас до останньої частини цієї статті.

tcpdump пропонує базову підтримку логічних виразів, зокрема:

• and/ &&- Логічне «і».
• or/ ||- Логічне «або».
• not/ !- Логічне «ні».

Разом із можливістю групувати вирази разом, це дозволяє створювати дуже потужні пошуки вхідного та вихідного трафіку. Отже, давайте відфільтруємо трафік, що надходить з vultr.com на порт 22 або 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Запуск цього в командному рядку призведе до такої помилки:

bash: syntax error near unexpected token `('

Це тому, що є застереження: bashнамагається оцінити кожного персонажа, який може. Це включає символи (та ). Щоб уникнути цієї помилки, ви повинні використовувати одинарні лапки навколо комбінованого виразу:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Інший корисний приклад: налагоджуючи проблеми SSH з одним із ваших користувачів, ви можете ігнорувати все, що пов’язано з вашим сеансом SSH:

tcpdump '!(host $youripaddress) && port 22)'

Знову ж таки, варіанти використання нескінченні, і ви можете вказати дуже глибоко, який тип трафіку ви хочете бачити. Наступна команда покаже вам лише пакети SYNACK для рукостискання TCP:

tcpdump -i eth0 'tcp[13]=18'

Це працює, дивлячись на тринадцяте зміщення заголовка TCP і вісімнадцятий байт всередині нього.

Якщо ви зробили це до кінця, то ви готові до більшості випадків використання, які виникнуть. Я ледве можу торкнутися поверхні, не вдаючись у багато деталей. Я настійно рекомендую вам поекспериментувати з різними варіантами та виразами трохи далі; і, як зазвичай: посилайтеся на сторінку керівництва, коли заблукаєте.

Останнє, але не менш важливе – швидкий огляд назад. Пам’ятаєте початок цієї статті? З тисячами пакетів, захоплених за лічені секунди? Сила tcpdumpможе значно зменшити це:

tcpdump -i eth0 tcp port 22

Результат зараз:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Це набагато розумніше і легше налагоджувати. Щасливого спілкування!