Meriv çawa bi tcpdump pakêtan li gorî naveroka wan fîlter dike? ▷➡️

‌ Meriv çawa pakêtan li gorî naveroka wan bi tcpdump fîltre dike?

Analîzkirina pakêtê di warê torên komputerê de teknîkek girîng e. Tcpdump amûrek rêzika fermanê ye ku destûrê dide me ku em pakêtên li ser torê bigirin û lêkolîn bikin. Yek ji taybetmendiyên herî hêzdar ên tcpdump şiyana fîlterkirina pakêtan li gorî naveroka wan e. Di vê gotarê de, em ê lêkolîn bikin ka meriv çawa tcpdump-ê bikar tîne da ku pakêtan li gorî naverokên wan parz bike. bi bandor.

- Tcpdump çi ye û çawa dixebite?

TCPDump amûrek rêza fermanê ye ku dihêle hûn pakêtên torê li ser pergalên xebitandinê yên Unix-ê bigrin û analîz bikin. Ev amûra bi hêz di cîhana rêveberiya torê û ewlehiyê de bi berfirehî tê bikar anîn. Operasyona wê ⁢ li ser girtina⁤ hemî⁤ pakêtên ku di navbeynek torê ya taybetî re derbas dibin ve girêdayî ye. û⁤ di derbarê wan de agahdariya hûrgulî nîşan bide, wek navnîşanên IP-ya çavkanî û meqsed, protokolên hatine bikar anîn, portên têkildar, û naveroka pakêtê.

Yek ji taybetmendiyên berbiçav ên TCPDump jêhatîbûna wê ye pakêtan li gorî naveroka wan fîlter bikin. Ev tê vê wateyê ku hûn dikarin hin pîvanan diyar bikin da ku tenê pakêtên ku hin mercan pêk tînin bigirin. Mînakî, hûn dikarin tenê pakêtên ku di naveroka wan de peyvek taybetî vedihewînin, an tenê pakêtên ku ji navnîşanek IP-ya taybetî derdikevin an ji bo wan têne fîlter kirin. Ev bi taybetî di rewşên ku hûn dixwazin celebek seyrûsefera torê ya taybetî analîz bikin an çavdêrî bikin bikêr e.

Ji bo bikaranîna parzûnkirina naverokê di TCPDump de, biwêjên rêkûpêk têne bikar anîn.Ev biwêj bi karanîna hevoksaziyek taybetî têne diyar kirin û dihêle hûn di nav naveroka pakêtan de şêwazên lêgerînê diyar bikin. Gava ku hûn pakêtan digirin, TCPDump wan bi vegotina birêkûpêk re berhev dike û tenê yên ku bi şêwaza diyarkirî li hev dikin nîşan dide.. Ev rê dide analîza bilez û bikêrhatî ya pakêtên berjewendiyê, bêyî ku meriv tevahiya ⁤trafîkê lêkolîn bike. Bînin bîra xwe ku vegotinên birêkûpêk dikarin pir tevlihev bibin, ji ber vê yekê tê pêşniyar kirin ku hûn di derbarê hevoksaziya wan de zanînek baş hebe û wan bi baldarî bikar bînin.

- Parzûnkirina pakêtan li gorî naverokê: çima girîng e?

Parzûnkirina pakêtan ji hêla naverokê ve ji bo her rêveberê torê fonksiyonek girîng e. Ew dihêle hûn naveroka pakêtên daneyê yên ku li ser torê dizivirin lêkolîn bikin û li gorî naveroka ku hatine dîtin çalakiyan pêk bînin. Ev kapasîteyê ji bo misogerkirina ewlekarî û performansa torê pêdivî ye. Ji bo pêkanîna vî rengî fîlterkirinê gelek amûr hene, yek ji wan tcpdump e.

tcpdump amûrek rêzika fermanê ye ku ji bo girtin û analîzkirina pakêtên torê tê bikar anîn. Ew ji bo fîlterkirina pakêtan ji hêla naverokê ve pir bikêr e, ji ber ku ew rê dide me ku em rêgez û mercên taybetî saz bikin da ku tenê wan pakêtên ku bi hewcedariyên me re têkildar in bigirin. Bi saya kapasîteya xweya fîlterkirinê, tcpdump dihêle ku em naveroka pakêtan analîz bikin û li ser bingeha wê agahiyê biryar bidin.

Parzûnkirina pakêtan ji hêla naverokê ve ji ber çend sedeman girîng e. Destpêka tevahîya, ji me re dibe alîkar ku seyrûsefera nexwestî an xirab nas bike û pêşî lê bigire, wek hewildanên destwerdanê, vîrus an malware. Bêyî, destûrê dide me ku em li ser daneyên ku di nav de belav dibin xwedî kontrolek mezintir bin tora me,⁢ ku tê wergerandin a performansa baştirkirî û ewlekariya mezintir. Di dawiyê de, fîlterkirina li gorî naverokê jî ji bo kêrhatî ye pirsgirêkên torê analîz bikin û çareser bikinJi ber ku em dikarin naveroka pakêtan lêkolîn bikin û sedema têkçûn an bûyeran diyar bikin.

Naveroka taybetî - Li vir bikirtînin Meriv çawa çapkerek bi toreke bêtêl ve girêdide

- Hevoksazî û vebijarkên ji bo fîlterkirina pakêtan bi tcpdump

Hevoksazî û vebijarkên ji bo fîlterkirina pakêtan bi tcpdump

Hevoksaziya TCPDump: Fermana tcpdump ji bo girtin û analîzkirina seyrûsefera torê ya li ser pergala xebitandina Unix tê bikar anîn. Ji bo fîlterkirina pakêtan li gorî naveroka wan, divê hûn vebijarka "-s" li dû fîltera ku hûn dixwazin bicîh bikin bikar bînin. Mînakî, heke hûn dixwazin pakêtên ku tê de peyva "şîfre" fîlter bikin, dê ferman ev be: tcpdump⁤ -s «şîfre».
⁤

Parzûnên hevpar: tcpdump cûrbecûr fîlteran pêşkêşî dike ku dihêle hûn lêgerînên pakêtê xwe xweş bikin. Hin fîlterên herî gelemperî ev in:

– Mazûban: destûrê dide te ku hûn bi navnîşana ⁢IP an navê domainê fîlter bikin.
– Bender: destûrê dide te ku hûn ji hêla çavkanî an porta mebestê ve fîlter bikin.
– Tor: destûrê dide te ku hûn bi navnîşana IP-ê an rêza navnîşanên IP-yê fîlter bikin.
– Protokol: dihêle hûn bi protokola torê, wekî TCP, UDP an ICMP fîlter bikin.

Vebijarkên pêşketî: Ji bilî fîlterên bingehîn, tcpdump ji bo fîlterkirina pakêtan vebijarkên pêşkeftî jî pêşkêşî dike. Hin⁢ ji van vebijarkan ev in:

– src: destûrê dide te ku hûn li gorî navnîşana IP-ya çavkaniyê fîlter bikin.
– dst: destûrê dide te ku hûn li gorî navnîşana IP-ya armancê fîlter bikin.
– ne: destûrê dide te ku hûn parzûnek înkar bikin, ji pakêtên ku wê pîvanan pêk tînin derxe.
– û: destûrê dide te ku hûn ji bo lêgerînek taybetîtir gelek fîlteran bihev bikin.

Bi zanîna van hevoksan⁤ û vebijarkên ji bo fîlterkirina pakêtan‌ bi tcpdump, hûn ê karibin analîza seyrûsefera torê ya bikêrtir û kesanetir bikin. Bînin bîra xwe ku tcpdump amûrek pir bi hêz e, ji ber vê yekê girîng e ku meriv fêm bike ka meriv çawa fîlter û vebijarkên wê rast bikar tîne da ku encamên xwestî bi dest bixe. Hemî îmkanên ku tcpdump pêşkêşî dike ceribandin û kifş bikin!

- Parzûnkirina pakêtan li gorî protokol û navnîşana IP-yê

Ji bo ⁢pakêtan li gorî protokola ⁤ û navnîşana IP⁢ bikar bînin parzûn bikin tcpdump,⁤ divê em vebijarkên guncav dema ku emrê bicîh dikin bikar bînin. Wekî gava yekem, heke em bixwazin⁤ bi protokolê fîlter bikin, em dikarin bi vebijarkê protokola xwestî diyar bikin. -p li pey navê protokolê. Mînakî, heke em dixwazin pakêtên ku bi protokola ICMP re têkildar in parz bikin, em ê bikar bînin tcpdump -p icmp.Bi vî awayî, tcpdump dê tenê pakêtên ku bi wê protokola taybetî re têkildar in nîşan bide.

Ger em dixwazin pakêtan bi navnîşana IP-yê fîlter bikin, tcpdump dihêle ku em wiya bi karanîna vebijarkê bikin -n li pey navnîşana IP-ya xwestî. Mînakî, heke em bixwazin tenê pakêtên ku navnîşana IP-ya çavkaniyê 192.168.1.100 hene fîlter bikin, em ê bikar bînin. tcpdump -n src⁤host‌ 192.168.1.100. Bi vî rengî, tcpdump dê tenê pakêtên ku wê pîvanên navnîşana IP-yê bicîh tînin nîşan bide.

Digel fîlterkirina navnîşana IP-yê û protokolê bi ferdî, em dikarin her du pîvanan jî bi hev re bikin da ku bigihîjin fîlterkirinek rastîn. Ji bo vê yekê, em ê vebijarkan bikar bînin -p û -n bi hev re, li pey protokolên⁤ û ⁤navnîşanên IP-yê xwestin. Mînakî, heke em dixwazin pakêtên ku bi protokola UDP re têkildar in û navnîşana IP-ya çavkaniyê 192.168.1.100 fîlter bikin, em ê bikar bînin. tcpdump -p udp û src host 192.168.1.100. Ev ê bihêle ku em tenê pakêtên ku her du pîvanan di heman demê de pêk tînin bistînin.

Naveroka taybetî - Li vir bikirtînin Kî dahênerê protokola ragihandinê ya SMTP ye?

- Parzûnkirina li gorî porta çavkanî û mebest⁢

TCPDUMP amûrek rêzika fermanê ye ku destûrê dide rêvebirên torê ku trafîkê bigirin û analîz bikin. di wextê rast de. Yek ji taybetmendiyên herî bikêr ên TCPDUMP jêhatîbûn e pakêtan li gorî naveroka wan fîlter bikin, rê dide me ku em analîzek kûr a seyrûsefera torê⁤ bikin û agahdariya taybetî bibînin. Di vê gotarê de, em ê rave bikin ka meriv çawa pakêtan li gorî fîlter dike eslê xwe û porta mebestê, ku dikare ji bo tespîtkirina pirsgirêkên torê, tespîtkirina çalakiya gumanbar, an tenê fîlterkirina seyrûseferê ji bo analîzên taybetîtir kêrhatî be.

Parzûna bi ⁢ eslê xwe û portê mebestê ⁤ destûrê dide me ku em pakêtên ku ji an⁤-ê têne rêve kirin li portek taybetî ya navnîşek IP-yê hilbijêrin. Ev bi taybetî bikêr e dema ku em dixwazin bala xwe bidin ser celebek seyrûseferek taybetî, wekî seyrûsefera ku ji karûbarek an serîlêdanek taybetî tê an rêve dibe. Mînakî, heke em dixwazin seyrûsefera HTTP-ê ya ku ji tora me derdikeve analîz bikin, em dikarin parzûna "tcp port 80" bikar bînin da ku tenê pakêtên ku porta 80-ê wekî porta çavkaniyê bikar tînin bigirin. Bi vî rengî, em dikarin tenê agahdariya ku bi analîza xwe re têkildar bi dest bixin.

To filter by eslê xwe û portê mebestê Bi TCPDUMP re, em dikarin vebijarka -d-ê li dû jimareya portê ya ku em dixwazin fîlter bikin bikar bînin. Mînakî, heke em dixwazin pakêtên ku jê derdikevin an berbi porta 22-an ve têne rêve kirin, ku porta standard a protokola SSH-ê ye, fîlter bikin, em dikarin fermana jêrîn bikar bînin: tcpdump -d porta 22. Ev ê tenê pakêtên ku porta 22-ê wekî porta çavkanî an cîhê bikar tînin nîşanî me bide. Em dikarin vê parzûnê bi parzûnên din ên ku di TCPDUMP-ê de peyda dibin re bikin yek da ku derheqê seyrûsefera torê ya ku em dixwazin analîz bikin de hîn bêtir agahdarî bistînin.

- Parzûnkirina naverokê ya pêşkeftî bi vegotinên birêkûpêk

Yek ji taybetmendiyên herî pêşkeftî û kêrhatî yên ⁢ tcpdump şiyana ku bike ye pakêtên parzûnê ji bo naveroka wê. Ev bi karanîna ⁢ pêk tê îfadeyên rêkûpêk⁤, ku dihêle ku şêwazên lêgerînê yên tevlihev û taybetî bêne diyarkirin⁤.

Dema ku ⁤ bikar bînin îfadeyên rêkûpêk, em dikarin li ser bingeha pakêtan⁤ fîlter bikin her rêzika nivîsê di wan de hene, wek navnîşanên IP, port, navên mêvandar, rêzikên byte yên taybetî, di nav yên din de. Ev bi taybetî bikêr e dema ku hûn dixwazin seyrûsefera taybetî⁤ analîz bikin li ser torekê.

Bikaranîn îfadeyên rêkûpêk li tcpdump, divê em vebijarkê bikar bînin -s li pey krîterên lêgerînê yên xwestî. Mînakî, heke em bixwazin pakêtên ku di naverokê de rêzika "http" tê de fîlter bikin, em dikarin ⁤ferman bi kar bînin: ⁤ tcpdump -s‌ «http».

- Bi tcpdump paketên leakkirî girtin û analîz kirin

Bi tcpdump re pakêtên leakkirî girtin û analîz kirin

TCPDump amûrek rêzika fermanê ye ku bi berfirehî tê bikar anîn da ku pakêtên torê li ser pergalên Unix bigire û analîz bike. Bi TCPDump re, mimkun e ku meriv hemî pakêtên ku di navbeynek torê ya taybetî re derbas dibin werin girtin û ji bo analîza paşîn wan di pelê de hilîne. Qabiliyeta fîlterkirina pakêtan bi tcpdump taybetmendiyek bingehîn e ku analîzkirinê hêsantir dike û ji zêdebarkirina agahdariya nehewce dûr dixe. .

Naveroka taybetî - Li vir bikirtînin Meriv çawa Torê bikar tîne

Dema ku tcpdump ji bo girtina pakêtan bikar bînin, hûn dikarin wan bi navnîşana IP-ê, port, an protokolê fîlter bikin. Ev destûrê dide li ser binkeyek taybetî ya agahdariya têkildar bisekinin û dengê nedilxwaz biavêjin. Mînakî, ger em bala xwe bidin seyrûsefera HTTP-ê, em dikarin pakêtan bi karanîna fermana jêrîn fîlter bikin:

tcpdump -i eth0 port 80

Ev ferman dê tenê pakêtên ku di porta 80 re derbas dibin bigire û nîşan bide, bi gelemperî ji bo protokola HTTP tê bikaranîn. Bi vî awayî em dikarin li ser analîza seyrûsefera malperê bisekinin û ji nihêrandina pakêtên negirêdayî dûr bisekinin.

Ji bilî fîlterên bingehîn⁢, ‍tcpdump‌ jî destûrê dide pakêtên⁤ ji hêla naverokê ve fîlter bikin. Ev tê de lêgerîna rêzikek taybetî ya daneyê di nav naverokên pakêtên hatine girtin de ye. Mînakî, heke em dixwazin hemî ⁢pakêtên ku di naveroka wan de peyva "şîfre" heye bigirin, em dikarin fermana jêrîn bikar bînin:

tcpdump -i eth0 -A -s0 -w paquetes.pcap 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x70617373'

Bi vê fermanê, tcpdump dê hemî paketên ku rêzika "şîfreyê" dihewîne di pelê "packages.pcap" de bigire û hilîne.. ⁤Piştre em dikarin vê pelê bi hûrgulî analîz bikin da ku agahdariya têkildar bibînin, qelsiyên gengaz nas bikin û ewlehiya torê baştir bikin.

Bi kurtasî, tcpdump ji bo girtin û analîzkirina pakêtên torê amûrek hêzdar e. Kapasîteyên fîlterkirina wê ji hêla navnîşana IP, port, protokol û naverokê ve destûrê dide li ser agahdariya têkildar bisekinin û xwe ji daneyên zêde yên nepêwist dûr bixin. Çi ji bo mebestên ⁤teşhîs, çavdêriya torê⁢ an ewlehiyê, tcpdump ji bo her torgilokek profesyonel bijarek pêbawer e.

- Pêşniyarên ji bo fîlterkirina bi bandor û ewledar bi tcpdump

Dema ku dor tê ser pakêtan li gorî naveroka xwe bi tcpdump fîlter bikin, girîng e ku meriv pê ewle bibe ku fîlterkirin bi bandor û ewledar e. Ji bo ku em bigihîjin vê yekê, li vir em hin pêşniyarên ku dê ji we re pir bikêr bin pêşkêş dikin:

1. Gotinên rêkûpêk bikar bînin: tcpdump destûrê dide karanîna îfadeyên birêkûpêk da ku pakêtan li ser bingeha naverokê fîltre bike. Ev nermbûnek mezin⁤ dide we da ku hûn qalibên lêgerînê yên taybetî diyar bikin û tenê pakêtên ku bi wan qalibên ⁤şibîne fîlter bikin. Hûn dikarin ala "-s" li gel biwêjek birêkûpêk bikar bînin da ku fîlterkirinê bicîh bikin.

2. Parzûna guncan diyar bikin: Ji bo bidestxistina encamên rast, girîng e ku meriv parzûnê rast diyar bike. Pêdivî ye ku hûn bi zelalî nas bikin ka hûn çi celeb naverokê di pakêtan de lê digerin, gelo ew navnîşek IP, portek, an rêzek nivîsê ya taybetî ye. Di heman demê de, pê ewle bin ku hûn operatorên mentiqî bi rêkûpêk tevlihev bikin da ku fîlterkirin bêtir safî bikin û encamên xwestinê bistînin.

3. Qada fîlterkirinê sînordar bikin: ⁢ Girîng e ku were zanîn ku tcpdump hemî pakêtên ku di navgînek torê re derbas dibin digire. Ev dikare bibe sedema hejmareke mezin a daneyên nedilxwaz û analîzê dijwar bike. Ji ber vê yekê, em pêşniyar dikin ku hûn qada fîlterkirinê bi qasî ku gengaz be sînordar bikin da ku ji bargiraniya agahdarî dûr bisekinin û pêvajoya analîzê bilezînin.

Sebastian Vidal

Ez Sebastián Vidal im, endezyarek komputerê ku ji teknolojiyê û DIY-ê dilşewat e. Wekî din, ez afirînerê wê me tecnobits.com, ku ez dersan parve dikim da ku teknolojiyê ji her kesî re bigihînim û têgihîştî bikim.