tcpdump ашиглан пакетуудыг агуулгаар нь хэрхэн шүүх вэ?
Пакет шинжилгээ нь компьютерийн сүлжээний салбарт маш чухал арга юм. Tcpdump нь сүлжээн дэх пакетуудыг барьж, шалгах боломжийг олгодог тушаалын мөрийн хэрэгсэл юм. tcpdump-ийн хамгийн хүчирхэг шинж чанаруудын нэг бол пакетуудыг агуулгаар нь шүүх чадвар юм. Энэ нийтлэлд бид tcpdump ашиглан пакетуудыг агуулгаар нь шүүж үзэх болно. үр дүнтэйгээр.
– Tcpdump гэж юу вэ, энэ нь хэрхэн ажилладаг вэ?
TCPDump нь Unix-д суурилсан үйлдлийн системүүд дээр сүлжээний пакетуудыг авч, дүн шинжилгээ хийх боломжийг олгодог командын мөрийн хэрэгсэл юм. Түүний үйл ажиллагаа нь тодорхой сүлжээний интерфэйсээр дамждаг бүх пакетуудыг барихад суурилдаг. болон эх сурвалж болон очих IP хаяг, ашигласан протокол, холбогдох портууд, пакетийн агуулга зэрэг дэлгэрэнгүй мэдээллийг харуулна.
TCPDump-ийн онцлох шинж чанаруудын нэг бол түүний чадвар юм пакетуудыг агуулгаар нь шүүнэ. Энэ нь та зөвхөн тодорхой нөхцөлийг хангасан пакетуудыг авахын тулд тодорхой шалгууруудыг зааж өгч болно гэсэн үг юм. Жишээлбэл, та зөвхөн агуулгад нь тодорхой үг агуулсан пакетуудыг шүүж болно, эсвэл зөвхөн тодорхой IP хаягаас гаралтай эсвэл түүнд зориулагдсан пакетуудыг шүүж болно. Энэ нь та тодорхой төрлийн сүлжээний траффикийг шинжлэх эсвэл хянахыг хүсч буй нөхцөл байдалд ялангуяа ашигтай байдаг.
TCPDump-д контент шүүлтийг ашиглахын тулд эдгээр илэрхийллүүд нь тодорхой синтакс ашиглан тодорхойлогддог бөгөөд танд багцын агуулгад хайлтын хэв маягийг зааж өгөх боломжийг олгодог. Пакетуудыг авсны дараа TCPDump нь тэдгээрийг ердийн илэрхийлэлтэй харьцуулж, зөвхөн заасан загварт тохирохыг харуулна.. Энэ нь замын хөдөлгөөнийг бүхэлд нь судлах шаардлагагүй, сонирхсон пакетуудад илүү хурдан, үр дүнтэй дүн шинжилгээ хийх боломжийг олгодог. Тогтмол илэрхийлэл нь нэлээд төвөгтэй болж хувирдаг тул тэдгээрийн синтаксийн талаар сайн мэдлэгтэй байж, болгоомжтой ашиглахыг зөвлөж байна.
– Пакетуудыг агуулгаар нь шүүх: яагаад чухал вэ?
Пакетуудыг контентоор нь шүүх нь сүлжээний администраторын хувьд чухал үүрэг юм. Энэ нь сүлжээнд эргэлдэж буй өгөгдлийн пакетуудын агуулгыг шалгаж, олсон контент дээр үндэслэн арга хэмжээ авах боломжийг танд олгоно. Энэхүү чадавхи нь сүлжээний аюулгүй байдал, гүйцэтгэлийг хангахад нэн чухал юм. Энэ төрлийн шүүлтүүрийг гүйцэтгэх хэд хэдэн хэрэгсэл байдаг бөгөөд тэдгээрийн нэг нь tcpdump юм.
tcpdump нь сүлжээний пакетуудыг барьж, дүн шинжилгээ хийхэд ашигладаг командын мөрийн хэрэгсэл юм. Энэ нь зөвхөн бидний хэрэгцээнд нийцсэн пакетуудыг авахын тулд тодорхой дүрэм, нөхцөлийг бий болгох боломжийг олгодог тул пакетуудыг агуулгаар нь шүүхэд маш хэрэгтэй байдаг. tcpdump нь шүүлтүүрийн хүчин чадлынхаа ачаар пакетуудын агуулгыг шинжлэх, тэдгээр мэдээлэлд үндэслэн шийдвэр гаргах боломжийг бидэнд олгодог.
Пакетуудыг агуулгаар нь шүүх нь хэд хэдэн шалтгааны улмаас чухал юм. Юуны өмнө, бидэнд хүсээгүй эсвэл хортой урсгалыг илрүүлэх, урьдчилан сэргийлэхэд тусалдагхалдлага хийх оролдлого, вирус эсвэл хортой програм гэх мэт. Түүнээс гадна, эргэлдэж буй өгөгдөлд илүү их хяналт тавих боломжийг бидэнд олгодог манай сүлжээ, гэж орчуулагддаг сайжруулсан гүйцэтгэл мөн илүү аюулгүй байдал. Эцэст нь контентоор шүүх нь бас ашигтай сүлжээний асуудлыг шинжлэх, шийдвэрлэх, учир нь бид багцын агуулгыг судалж, болзошгүй алдаа, ослын шалтгааныг тодорхойлж чадна.
– tcpdump ашиглан пакетуудыг шүүх синтакс ба сонголтууд
tcpdump ашиглан пакетуудыг шүүх синтакс ба сонголтууд
TCPDump синтакс: tcpdump команд нь Unix үйлдлийн систем дээрх сүлжээний урсгалыг авч шинжлэхэд хэрэглэгддэг. Пакетуудыг агуулгаар нь шүүхийн тулд та "-s" сонголтыг сонгоод хэрэглэхийг хүссэн шүүлтүүрээ ашиглах ёстой. Жишээлбэл, хэрэв та "нууц үг" гэсэн үгийг агуулсан пакетуудыг шүүхийг хүсвэл дараах тушаал болно: tcpdump -s "нууц үг".
Нийтлэг шүүлтүүрүүд: tcpdump нь танд багцын хайлтыг өөрчлөх боломжийг олгодог олон төрлийн шүүлтүүрийг санал болгодог. Хамгийн түгээмэл шүүлтүүрүүдийн зарим нь:
– Host: IP хаяг эсвэл домэйн нэрээр шүүх боломжийг танд олгоно.
– Port: эх эсвэл очих портоор шүүх боломжийг танд олгоно.
– Net: IP хаяг эсвэл IP хаягийн мужаар шүүх боломжийг танд олгоно.
– Protocol: TCP, UDP эсвэл ICMP гэх мэт сүлжээний протоколоор шүүх боломжийг танд олгоно.
Дэвшилтэт сонголтууд: Үндсэн шүүлтүүрүүдээс гадна tcpdump нь пакетуудыг шүүх нэмэлт сонголтуудыг санал болгодог. Эдгээр сонголтуудын зарим нь:
– src: эх сурвалжийн IP хаягаар шүүх боломжийг танд олгоно.
– dst: очих IP хаягаар шүүх боломжийг танд олгоно.
– биш: тухайн шалгуурыг хангасан багцыг эс тооцвол шүүлтүүрийг үгүйсгэх боломжийг танд олгоно.
– and: илүү тодорхой хайлт хийхийн тулд олон шүүлтүүрийг нэгтгэх боломжийг танд олгоно.
Эдгээр синтаксууд болон tcpdump ашиглан пакетуудыг шүүх сонголтуудыг мэдсэнээр та сүлжээний траффикийн шинжилгээг илүү үр ашигтай, хувийн болгосон хийх боломжтой болно. Tcpdump бол маш хүчирхэг хэрэгсэл гэдгийг санаарай, тиймээс хүссэн үр дүнд хүрэхийн тулд түүний шүүлтүүр, сонголтыг хэрхэн зөв ашиглахаа ойлгох нь чухал юм. Туршилт хийж, tcpdump-ийн санал болгож буй бүх боломжуудыг олж мэдээрэй!
– Протокол болон IP хаягаар пакетуудыг шүүх
пакетуудыг протокол ба IP хаягаар ашиглан шүүнэ tcpdump, командыг гүйцэтгэхдээ тохирох сонголтуудыг ашиглах хэрэгтэй. Эхний алхам болгон, хэрэв бид протоколоор шүүхийг хүсвэл сонголтыг ашиглан хүссэн протоколоо зааж өгч болно. -p дараа нь протоколын нэр. Жишээлбэл, хэрэв бид ICMP протоколд тохирох пакетуудыг шүүхийг хүсвэл бид ашиглах болно tcpdump -p icmp. Ингэснээр tcpdump нь зөвхөн тухайн протоколд тохирох пакетуудыг харуулах болно.
Хэрэв бид пакетуудыг IP хаягаар шүүхийг хүсвэл tcpdump нь сонголтыг ашиглан үүнийг хийх боломжийг бидэнд олгодог -n дараа нь хүссэн IP хаяг. Жишээлбэл, хэрэв бид зөвхөн 192.168.1.100 эх IP хаягтай пакетуудыг шүүхийг хүсвэл бид ашиглах болно. tcpdump -n src host 192.168.1.100. Ингэснээр tcpdump нь зөвхөн тухайн IP хаягийн шалгуурыг хангасан пакетуудыг харуулах болно.
IP хаяг болон протоколоор дангаар нь шүүхээс гадна бид хоёр шалгуурыг нэгтгэж илүү нарийвчлалтай шүүлт хийх боломжтой. Үүнийг хийхийн тулд бид сонголтуудыг ашиглах болно -p мөн -n хамтдаа, дараа нь протоколууд болон хүссэн IP хаягууд. Жишээлбэл, хэрэв бид UDP протоколд тохирох пакетуудыг шүүж, 192.168.1.100 эх IP хаягтай бол бид үүнийг ашиглах болно. tcpdump -p udp болон src хост 192.168.1.100. Энэ нь зөвхөн хоёр шалгуурыг хангасан багцуудыг нэгэн зэрэг авах боломжийг бидэнд олгоно.
– Эх сурвалж болон очих портоор шүүх
TCPDUMP нь сүлжээний админуудад траффик авч, дүн шинжилгээ хийх боломжийг олгодог тушаалын мөрийн хэрэгсэл юм. бодит цаг хугацаанд. TCPDUMP-ийн хамгийн ашигтай шинж чанаруудын нэг бол чадвар юм пакетуудыг агуулгаар нь шүүнэЭнэ нь бидэнд сүлжээний траффикийн талаар илүү гүнзгий дүн шинжилгээ хийх, тодорхой мэдээллийг олох боломжийг олгодог. Энэ нийтлэлд бид пакетуудыг хэрхэн шүүх талаар тайлбарлах болно гарал үүсэл ба очих порт, энэ нь сүлжээний асуудлыг тодорхойлох, сэжигтэй үйл ажиллагааг илрүүлэх, эсвэл илүү тодорхой дүн шинжилгээ хийхийн тулд траффикийг шүүж авахад тустай байж болно.
Шүүлтүүрийг гарал үүсэл ба очих порт IP хаяг дээрх тодорхой портоос гаралтай эсвэл руу чиглэсэн пакетуудыг сонгох боломжийг бидэнд олгодог. Энэ нь ялангуяа тодорхой үйлчилгээ, програмаас ирж буй эсвэл чиглэсэн урсгал гэх мэт тодорхой төрлийн хөдөлгөөнд анхаарлаа хандуулахыг хүсч байгаа үед хэрэг болно. Жишээлбэл, хэрэв бид сүлжээнээсээ гаралтай HTTP урсгалыг шинжлэхийг хүсвэл "tcp port 80" шүүлтүүрийг ашиглан зөвхөн 80 портыг эх порт болгон ашигладаг пакетуудыг авах боломжтой. Ийм байдлаар бид зөвхөн шинжилгээнд хамаарах мэдээллийг олж авах боломжтой.
Шүүлтүүр гарал үүсэл ба очих порт TCPDUMP-ийн тусламжтайгаар бид шүүхийг хүссэн портын дугаарын дараа -d сонголтыг ашиглаж болно. Жишээлбэл, хэрэв бид SSH протоколын стандарт порт болох 22-р порт руу чиглэсэн эсвэл үүсэлтэй пакетуудыг шүүхийг хүсвэл дараах тушаалыг ашиглаж болно. tcpdump -d порт 22. Энэ нь бидэнд зөвхөн 22-р портыг эх үүсвэр эсвэл очих порт болгон ашигладаг пакетуудыг харуулах болно. Бид энэ шүүлтүүрийг TCPDUMP-д байгаа бусад шүүлтүүртэй нэгтгэж, дүн шинжилгээ хийхийг хүсч буй сүлжээний хөдөлгөөний талаар илүү тодорхой мэдээлэл авах боломжтой.
– Тогтмол илэрхийлэл бүхий ахисан контент шүүлтүүр
-ийн хамгийн дэвшилтэт, ашигтай шинж чанаруудын нэг tcpdump чадвар юм шүүлтүүр пакет агуулгын хувьд. Үүнийг ашиглан хийдэг тогтмол хэллэгүүд, энэ нь нарийн төвөгтэй, тодорхой хайлтын хэв маягийг тодорхойлох боломжийг олгодог.
Хэрэглэх үед тогтмол илэрхийллүүд, бид багцуудыг дээр үндэслэн шүүж болно ямар ч текстийн мөр IP хаяг, порт, хостын нэр, тодорхой байт дараалал гэх мэт тэдгээрт байдаг. Энэ нь та тодорхой замын хөдөлгөөнд дүн шинжилгээ хийхийг хүсч байгаа үед ялангуяа ашигтай байдаг сүлжээнд.
Ашиглах тогтмол илэрхийллүүд дотор tcpdump, бид сонголтыг ашиглах ёстой -s дараа нь хүссэн хайлтын шалгуур. Жишээлбэл, хэрэв бид контент доторх "http" мөрийг агуулсан пакетуудыг шүүхийг хүсвэл командыг ашиглаж болно: tcpdump -s «http».
– tcpdump ашиглан алдагдсан пакетуудыг авч, дүн шинжилгээ хийх
tcpdump ашиглан алдагдсан пакетуудыг авч, шинжилж байна
TCPDump нь Unix систем дээр сүлжээний пакетуудыг барьж, шинжлэхэд өргөн хэрэглэгддэг командын мөрийн хэрэгсэл юм. TCPDump-ийн тусламжтайгаар тодорхой сүлжээний интерфэйсээр дамжиж буй бүх пакетуудыг авч, дараа нь дүн шинжилгээ хийх зорилгоор файлд хадгалах боломжтой. tcpdump ашиглан пакетуудыг шүүх чадвар нь дүн шинжилгээ хийхэд хялбар болгож, шаардлагагүй мэдээллийг хэт ачаалахаас сэргийлдэг чухал шинж чанар юм. .
Пакет авахын тулд tcpdump ашиглах үед та тэдгээрийг IP хаяг, порт эсвэл протоколоор шүүж болно. Энэ нь зөвшөөрдөг холбогдох мэдээллийн тодорхой хэсэг дээр анхаарлаа төвлөрүүл мөн хүсээгүй чимээ шуугианаас зайлсхий. Жишээлбэл, хэрэв бид HTTP траффикт дүн шинжилгээ хийх сонирхолтой байгаа бол дараах тушаалыг ашиглан пакетуудыг шүүж болно.
tcpdump -i eth0 port 80
Энэ тушаал нь зөвхөн 80-р портоор дамждаг пакетуудыг барьж, харуулах болно, HTTP протоколд ихэвчлэн ашиглагддаг. Ийм байдлаар бид чадна вэб замын хөдөлгөөний шинжилгээнд анхаарлаа хандуулаарай мөн хамааралгүй багцуудыг шалгахаас зайлсхий.
Үндсэн шүүлтүүрээс гадна tcpdump бас зөвшөөрдөг пакетуудыг контентоор нь шүүнэ. Энэ нь баригдсан пакетуудын контент доторх тодорхой өгөгдлийн мөрийг хайх явдал юм. Жишээлбэл, хэрэв бид "нууц үг" гэсэн үг агуулсан бүх пакетуудыг авахыг хүсвэл дараах тушаалыг ашиглаж болно.
tcpdump -i eth0 -A -s0 -w paquetes.pcap 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x70617373'
Энэ командын тусламжтайгаар tcpdump "нууц үг" гэсэн мөр агуулсан бүх пакетуудыг авч, "packages.pcap" файлд хадгална.. Дараа нь бид энэ файлд дэлгэрэнгүй дүн шинжилгээ хийж, холбогдох мэдээллийг олж, болзошгүй сул талыг тодорхойлж, сүлжээний аюулгүй байдлыг сайжруулах боломжтой.
Товчхондоо, tcpdump нь сүлжээний пакетуудыг барьж, дүн шинжилгээ хийх хүчирхэг хэрэгсэл юм. Түүний IP хаяг, порт, протокол, контентоор шүүх боломжийг олгодог холбогдох мэдээлэлд анхаарлаа төвлөрүүл Илүүдэл шаардлагагүй өгөгдлөөс зайлсхийх. Оношлогоо, сүлжээний хяналт эсвэл аюулгүй байдлын зорилгоор tcpdump нь сүлжээниймэргэжилтэн бүрийн найдвартай сонголт юм.
- tcpdump ашиглан үр дүнтэй, аюулгүй шүүлтүүр хийх зөвлөмж
Энэ тухайд гэвэл tcpdump ашиглан пакетуудыг агуулгаар нь шүүнэ, шүүлтүүрийг үр дүнтэй, аюулгүй байлгах нь чухал юм. Үүнд хүрэхийн тулд бид танд маш хэрэгтэй хэдэн зөвлөмжийг энд оруулав.
1. Тогтмол хэллэг ашиглах: tcpdump нь контент дээр үндэслэн пакетуудыг шүүх ердийн илэрхийлэл ашиглах боломжийг олгодог. Энэ нь танд тусгай хайлтын загваруудыг зааж өгөх, зөвхөн эдгээр загварт нийцсэн пакетуудыг шүүх маш уян хатан байдлыг олгоно. Шүүлтүүр хэрэглэхийн тулд "-s" тугийг ердийн илэрхийлэлийн хамт ашиглаж болно.
2. Тохирох шүүлтүүрийг тодорхойлно уу: Үнэн зөв үр дүнд хүрэхийн тулд шүүлтүүрийг зөв тодорхойлох нь чухал юм. Та пакетуудаас ямар төрлийн контент хайж байгаагаа тодорхой тодорхойлох ёстой, энэ нь IP хаяг, порт эсвэл тодорхой текстийн мөр юм. Мөн шүүлтүүрийг улам боловсронгуй болгож, хүссэн үр дүндээ хүрэхийн тулд логик операторуудыг зөв хослуулахаа мартуузай.
3. Шүүлтүүрийн хамрах хүрээг хязгаарлах: Tcpdump нь сүлжээний интерфэйсээр дамждаг бүх пакетуудыг барьж авдаг гэдгийг анхаарах нь чухал. Энэ нь их хэмжээний хүсээгүй өгөгдөлд хүргэж, дүн шинжилгээ хийхэд хүндрэл учруулдаг. Тиймээс мэдээллийг хэт ачааллаас зайлсхийх, дүн шинжилгээ хийх үйл явцыг хурдасгахын тулд шүүлтүүрийн хамрах хүрээг аль болох хязгаарлахыг зөвлөж байна.
Би Себастьян Видал, компьютерийн инженер технологи, өөрийн гараар хийх сонирхолтой. Цаашилбал, би бүтээгч нь tecnobits.com, би технологийг хүн бүрт илүү хүртээмжтэй, ойлгомжтой болгох хичээлүүдийг хуваалцдаг.