ווי צו פילטער פּאַקיץ לויט זייער אינהאַלט מיט tcpdump? ▷➡️

‌ ווי צו פילטער פּאַקיץ לויט זייער אינהאַלט מיט tcpdump?

פּאַקאַט אַנאַליסיס איז אַ קריטיש טעכניק אין די פעלד פון קאָמפּיוטער נעטוואָרקס. Tcpdump איז אַ באַפֿעל שורה געצייַג וואָס אַלאַוז אונדז צו כאַפּן און ונטערזוכן פּאַקיץ אויף אַ נעץ. איינער פון די מערסט שטאַרק פֿעיִקייטן פון tcpdump איז די פיייקייט צו פילטער פּאַקיץ לויט זייער אינהאַלט. אין דעם אַרטיקל, מיר וועלן ויספאָרשן ווי צו נוצן tcpdump צו פילטער פּאַקיץ לויט זייער אינהאַלט עפעקטיוו.

- וואָס איז tcpdump און ווי אַזוי אַרבעט עס?

TCPDump איז אַ באַפֿעל שורה געצייַג וואָס אַלאַוז איר צו כאַפּן און אַנאַלייז נעץ פּאַקיץ אויף יוניקס-באזירט אָפּערייטינג סיסטעמען. זייַן אָפּעראַציע איז באזירט אויף קאַפּטשערינג אַלע פּאַקיץ וואָס פאָרן דורך אַ ספּעציפיש נעץ צובינד און⁤ אַרויסווייַזן דיטיילד אינפֿאָרמאַציע וועגן זיי, אַזאַ ווי מקור און דעסטיניישאַן IP אַדרעסעס, פּראָטאָקאָלס געניצט, פּאָרץ ינוואַלווד און פּאַקאַט אינהאַלט.

איינער פון די נאָוטאַבאַל פֿעיִקייטן פון TCPDump איז די פיייקייט צו פילטער פּאַקיץ לויט זייער אינהאַלט. דעם מיטל אַז איר קענען ספּעציפיצירן זיכער קרייטיריאַ צו כאַפּן בלויז פּאַקיץ וואָס טרעפן זיכער טנאָים. פֿאַר בייַשפּיל, איר קענען פילטער בלויז פּאַקיץ וואָס אַנטהאַלטן אַ ספּעציפיש וואָרט אין זייער אינהאַלט, אָדער בלויז פּאַקיץ ערידזשאַנייטינג פון אָדער באַשערט פֿאַר אַ ספּעציפיש IP אַדרעס. דאָס איז ספּעציעל נוציק אין סיטואַטיאָנס ווו איר ווילן צו פונאַנדערקלייַבן אָדער מאָניטאָר אַ ספּעציפיש טיפּ פון נעץ פאַרקער.

צו נוצן אינהאַלט פֿילטרירונג אין TCPDump, רעגולער אויסדרוקן זענען דיפיינד מיט אַ ספּעציפיש סינטאַקס און לאָזן איר צו ספּעציפיצירן זוכן פּאַטערנז אין דער אינהאַלט פון פּאַקיץ. אַמאָל איר כאַפּן די פּאַקיץ, TCDPump קאַמפּערז זיי מיט די רעגולער אויסדרוק און דיספּלייז בלויז די וואָס גלייַכן די ספּעסיפיעד מוסטער. דעם ⁢ אַלאַוז פאַסטער און מער עפעקטיוו אַנאַליסיס פון פּאַקיץ פון אינטערעס, אָן איר דאַרפֿן צו ונטערזוכן די גאנצע פאַרקער כאַפּן. געדענקט אַז רעגולער אויסדרוקן קענען ווערן גאַנץ קאָמפּליצירט, אַזוי עס איז קעדייַיק צו האָבן אַ גוט וויסן פון זייער סינטאַקס און נוצן זיי מיט זאָרג.

- פילטערינג פּאַקיץ לויט אינהאַלט: וואָס איז עס וויכטיק?

פילטערינג פּאַקיץ לויט אינהאַלט איז אַ וויטאַל פונקציע פֿאַר קיין נעץ אַדמיניסטראַטאָר. עס אַלאַוז איר צו ונטערזוכן די אינהאַלט פון די דאַטן פּאַקיץ סערקיאַלייטינג אויף די נעץ און נעמען אַקשאַנז באזירט אויף די געפֿונען אינהאַלט. די פיייקייט איז יקערדיק צו ענשור נעץ זיכערהייט און פאָרשטעלונג. עס זענען עטלעכע מכשירים בנימצא צו דורכפירן דעם טיפּ פון פֿילטרירונג, איינער פון וואָס איז tcpdump.

tcpdump איז אַ באַפֿעל-שורה געצייַג געניצט צו כאַפּן און אַנאַלייז נעץ פּאַקיץ. עס איז זייער נוציק פֿאַר פילטערינג פּאַקיץ לויט אינהאַלט, ווייַל עס אַלאַוז אונדז צו פאַרלייגן ספּעציפיש כּללים און טנאָים צו כאַפּן בלויז די פּאַקיץ וואָס זענען באַטייַטיק צו אונדזער באדערפענישן. דאַנק צו זיין פילטערינג קאַפּאַציטעט, tcpdump אַלאַוז אונדז צו פונאַנדערקלייַבן די אינהאַלט פון פּאַקיץ און מאַכן דיסיזשאַנז באזירט אויף די אינפֿאָרמאַציע.

פילטערינג פּאַקיץ לויט אינהאַלט איז וויכטיק פֿאַר עטלעכע סיבות. קודם כל, העלפּס אונדז דעטעקט און פאַרמייַדן אַנוואָנטיד אָדער בייזע פאַרקער, אַזאַ ווי ינטרוזשאַן פרווון, ווירוסעס אָדער מאַלוואַרע. אַחוץ, אַלאַוז אונדז צו האָבן מער קאָנטראָל איבער די דאַטן וואָס סערקיאַלייץ דורך אונדזער נעץ,⁢ וואָס איבערזעצט אין אַ פֿאַרבעסערטע פאָרשטעלונג און גרעסער זיכערקייט. לעסאָף, פֿילטרירונג לויט אינהאַלט איז אויך נוציק פֿאַר פונאַנדערקלייַבן און סאָלווע נעץ פּראָבלעמס, זינט מיר קענען ונטערזוכן די אינהאַלט פון די פּאַקאַדזשאַז און באַשטימען די גרונט פון מעגלעך פייליערז אָדער ינסאַדאַנץ.

ויסשליסיק אינהאַלט - דריקט דאָ וואָס איז קאָנטינויִטעט אין עלעקטריע און ווי ווערט עס געמאָסטן?

- סינטאַקס און אָפּציעס פֿאַר פילטערינג פּאַקיץ מיט tcpdump

סינטאַקס און אָפּציעס פֿאַר פילטערינג פּאַקיץ מיט tcpdump

TCPDummp סינטאַקס: די tcpdump באַפֿעל איז געניצט צו כאַפּן און פונאַנדערקלייַבן נעץ פאַרקער אויף אַ יוניקס אָפּערייטינג סיסטעם. צו פילטער פּאַקיץ לויט זייער אינהאַלט, איר מוזן נוצן די "-s" אָפּציע נאכגעגאנגען דורך די פילטער איר ווילן צו צולייגן. פֿאַר בייַשפּיל, אויב איר ווילן צו פילטער פּאַקיץ וואָס אַנטהאַלטן דעם וואָרט "שפּריכוואָרט", די באַפֿעל וואָלט זיין: tcpdump⁤ -s «פּאַראָל».
⁤

פּראָסט פילטערס: tcpdump אָפפערס אַ ברייט קייט פון פילטערס וואָס לאָזן איר צו קאַסטאַמייז דיין פּעקל אָנפֿרעגן עטלעכע פון די מערסט פּראָסט פילטערס זענען:

– Host: ‌ אַלאַוז איר צו פילטער דורך ⁢ IP אַדרעס אָדער פעלד נאָמען.
– Port: אַלאַוז איר צו פילטער דורך מקור אָדער דעסטיניישאַן פּאָרט.
– Net: אַלאַוז איר צו פילטער דורך IP אַדרעס אָדער קייט פון IP אַדרעסעס.
– Protocol: אַלאַוז איר צו פילטער דורך נעץ פּראָטאָקאָל, אַזאַ ווי TCP, UDP אָדער ICMP.

אַוואַנסירטע אָפּציעס: אין אַדישאַן צו יקערדיק פילטערס, tcpdump אויך אָפפערס אַוואַנסירטע אָפּציעס פֿאַר פילטערינג פּאַקיץ. עטלעכע פון די אָפּציעס אַרייַננעמען:

– מקור: אַלאַוז איר צו פילטער דורך מקור IP אַדרעס.
– דסט: אַלאַוז איר צו פילטער דורך דעסטיניישאַן IP אַדרעס.
– נישט: אַלאַוז איר צו לייקענען אַ פילטער, עקסקלודינג פּאַקאַדזשאַז וואָס טרעפן די קרייטיריאַ.
– and: אַלאַוז איר צו פאַרבינדן קייפל פילטערס פֿאַר אַ מער ספּעציפיש זוכן.

דורך וויסן די סינטאַקסיז און אָפּציעס פֿאַר פילטערינג פּאַקיץ מיט tcpdump, איר וועט קענען צו דורכפירן מער עפעקטיוו און פערזענליכען נעץ פאַרקער אַנאַליסיס. געדענקט אַז tcpdump איז אַ זייער שטאַרק געצייַג, אַזוי עס איז וויכטיק צו פֿאַרשטיין ווי צו ריכטיק נוצן די פילטערס און אָפּציעס צו באַקומען די געוואלט רעזולטאַטן. עקספּערימענט און אַנטדעקן אַלע די פּאַסאַבילאַטיז וואָס tcpdump האט צו פאָרשלאָגן!

- פילטערינג פּאַקיץ לויט פּראָטאָקאָל און IP אַדרעס

צו פילטער ⁢ פּאַקיץ דורך פּראָטאָקאָל ⁤ און IP אַדרעס⁢ ניצן טי סי פי דאַמפּ,⁤ מיר דאַרפֿן צו נוצן די צונעמען אָפּציעס ווען עקסאַקיוטינג די באַפֿעל. ווי אַ ערשטער שריט, אויב מיר ווילן צו פילטער לויט פּראָטאָקאָל, מיר קענען ספּעציפיצירן די געבעטן פּראָטאָקאָל ניצן די אָפּציע -p נאכגעגאנגען דורך די נאָמען פון דעם פּראָטאָקאָל. פֿאַר בייַשפּיל, אויב מיר ווילן צו פילטער פּאַקיץ וואָס שטימען צו די ICMP פּראָטאָקאָל, מיר וואָלט נוצן tcpdump -p icmp. דעם וועג, tcpdump וועט בלויז ווייַזן די פּאַקיץ וואָס שטימען צו דעם באַזונדער פּראָטאָקאָל.

אויב מיר ווילן צו פילטער פּאַקיץ דורך IP אַדרעס, tcpdump אַלאַוז אונדז צו טאָן דאָס מיט די אָפּציע -n נאכגעגאנגען דורך די געבעטן IP אַדרעס. פֿאַר בייַשפּיל, אויב מיר ווילן צו פילטער בלויז פּאַקיץ וואָס האָבן די מקור IP אַדרעס 192.168.1.100, מיר וואָלט נוצן tcpdump -n src ⁤host‌ 192.168.1.100. דעם וועג, tcpdump וועט בלויז אַרויסווייַזן פּאַקיץ וואָס טרעפן די קרייטיריאַ פֿאַר IP אַדרעס.

אין אַדישאַן צו פֿילטרירונג דורך IP אַדרעס און פּראָטאָקאָל ינדיווידזשואַלי, מיר קענען אויך פאַרבינדן ביידע קרייטיריאַ צו דערגרייכן מער גענוי פֿילטרירונג. צו טאָן דאָס, מיר וועלן נוצן די אָפּציעס -p און -n צוזאַמען, נאכגעגאנגען דורך די פּראָטאָקאָלס און די געוואלט IP אַדרעסעס. פֿאַר בייַשפּיל, אויב מיר ווילן צו פילטער די פּאַקיץ וואָס שטימען צו די UDP פּראָטאָקאָל און האָבן די מקור IP אַדרעס 192.168.1.100, מיר וואָלט נוצן tcpdump -p udp און src באַלעבאָס 192.168.1.100. דאָס וועט לאָזן אונדז צו באַקומען בלויז די פּאַקאַדזשאַז וואָס טרעפן ביידע קרייטיריאַ אין דער זעלביקער צייט.

ויסשליסיק אינהאַלט - דריקט דאָ ווי אזוי צו מאכן רופן ניצנדיק וואטסאפ

- פֿילטרירונג לויט מקור און דעסטיניישאַן פּאָרט⁢

TCPDUMP איז אַ באַפֿעל-שורה געצייַג וואָס אַלאַוז נעץ אַדמיניסטראַטאָרס צו כאַפּן און אַנאַלייז פאַרקער. אין רעאַלער צייט. איינער פון די מערסט נוציק פֿעיִקייטן פון TCPDUMP איז די פיייקייט צו פילטער פּאַקיץ לויט זייער אינהאַלט, אַלאַוינג אונדז צו דורכפירן אַ דיפּער אַנאַליסיס פון נעץ פאַרקער⁤ און געפֿינען ספּעציפיש אינפֿאָרמאַציע. אין דעם אַרטיקל, מיר וועלן דערקלערן ווי צו פילטער פּאַקיץ דורך אָנהייב און דעסטיניישאַן פּאָרט, וואָס קענען זיין נוציק צו ידענטיפיצירן נעץ פּראָבלעמס, דיטעקטינג סאַספּישאַס טעטיקייט אָדער פשוט פילטער פאַרקער פֿאַר מער ספּעציפיש אַנאַליסיס.

די פילטער דורך ⁢ אָנהייב און דעסטיניישאַן פּאָרט דערלויבט אונדז צו אויסקלייַבן פּאַקיץ וואָס קומען פֿון אָדער זענען דירעקטעד צו אַ ספּעציפיש פּאָרט אויף אַן IP אַדרעס. דאָס איז ספּעציעל נוציק ווען מיר ווילן צו פאָקוס אויף אַ ספּעציפיש טיפּ פון פאַרקער, אַזאַ ווי פאַרקער וואָס קומט פון אָדער דירעקטעד צו אַ באַזונדער דינסט אָדער אַפּלאַקיישאַן. פֿאַר בייַשפּיל, אויב מיר ווילן צו אַנאַלייז הטטפּ פאַרקער ערידזשאַנייטאַד פון אונדזער נעץ, מיר קענען נוצן די "טקפּ פּאָרט 80" פילטער צו כאַפּן בלויז פּאַקיץ וואָס נוצן פּאָרט 80 ווי די מקור פּאָרט. אין דעם וועג, מיר קענען באַקומען בלויז די אינפֿאָרמאַציע וואָס איז באַטייַטיק פֿאַר אונדזער אַנאַליסיס.

צו פילטער דורך אָנהייב און דעסטיניישאַן פּאָרט מיט TCPDUMP, מיר קענען נוצן די -d אָפּציע נאכגעגאנגען דורך די פּאָרט נומער מיר ווילן צו פילטער. פֿאַר בייַשפּיל, אויב מיר ווילן צו פילטער פּאַקיץ וואָס קומען אָדער זענען דירעקטעד צו פּאָרט 22, וואָס איז דער נאָרמאַל פּאָרט פֿאַר די SSH פּראָטאָקאָל, מיר קענען נוצן די פאלגענדע באַפֿעל: tcpdump -d פּאָרט 22. דאָס וועט ווייַזן אונדז בלויז די פּאַקיץ וואָס נוצן פּאָרט 22 ווי די מקור אָדער דעסטיניישאַן פּאָרט. מיר קענען פאַרבינדן דעם פילטער מיט אנדערע פילטערס בנימצא אין TCPDUMP צו באַקומען אפילו מער ספּעציפיש אינפֿאָרמאַציע וועגן די נעץ פאַרקער וואָס מיר ווילן צו אַנאַלייז.

- אַוואַנסירטע אינהאַלט פֿילטרירונג מיט רעגולער אויסדרוקן

איינער פון די מערסט אַוואַנסירטע און נוציק פֿעיִקייטן פון ⁢ טי סי פי דאַמפּ איז די פיייקייַט צו פילטער פּאַקיץ פֿאַר זייַן אינהאַלט. דעם איז אַטשיווד ניצן ⁢ רעגולער אויסדרוקן, וואָס לאָזן קאָמפּלעקס און ספּעציפיש זוכן פּאַטערנז צו זיין דיפיינד⁤.

ווען ניצן ⁤ רעגולער אויסדרוקן, מיר קענען פילטער פּאַקיץ באזירט אויף קיין שטריקל פון טעקסט פאָרשטעלן אין זיי, אַזאַ ווי IP אַדרעסעס, פּאָרץ, באַלעבאָס נעמען, ספּעציפיש בייט סיקוואַנסיז, צווישן אנדערע. דאָס איז ספּעציעל נוציק ווען איר ווילן צו פונאַנדערקלייַבן ספּעציפיש פאַרקער⁤ אויף אַ נעץ.

צו ניצן רעגולערע אויסדרוקן אין טי סי פי דאַמפּ, מיר מוזן נוצן די אָפּציע -s נאכגעגאנגען דורך די געבעטן זוכן קרייטיריאַ. פֿאַר בייַשפּיל, אויב מיר ווילן צו פילטער פּאַקיץ וואָס אַנטהאַלטן דעם שטריקל "http" אין דעם אינהאַלט, מיר קענען נוצן די באַפֿעל: tcpdump -s‌ «הטטפּ».

- קאַפּטשערינג און אַנאַלייזינג ליקט פּאַקיץ מיט tcpdump

קאַפּטשערינג און אַנאַלייזינג ליקט פּאַקיץ מיט tcpdump

TCPDump איז אַ באַפֿעל שורה געצייַג וואָס איז וויידלי געניצט צו כאַפּן און אַנאַלייז נעץ פּאַקיץ אויף יוניקס סיסטעמען. מיט TCPDump, עס איז מעגלעך צו כאַפּן אַלע פּאַקיץ וואָס פאָרן איבער אַ ספּעציפיש נעץ צובינד און קראָם זיי אין אַ טעקע פֿאַר שפּעטער אַנאַליסיס. .

ויסשליסיק אינהאַלט - דריקט דאָ ווי אזוי א וואסער טאנק ארבעט

ווען איר נוצן tcpdump צו כאַפּן פּאַקיץ, איר קענען פילטער זיי לויט IP אַדרעס, פּאָרט אָדער פּראָטאָקאָל. דאס אַלאַוז פאָקוס אויף אַ ספּעציפיש סאַבסעט פון באַטייַטיק אינפֿאָרמאַציע און אַוועקוואַרפן אַנוואָנטיד ראַש. פֿאַר בייַשפּיל, אויב מיר זענען אינטערעסירט אין אַנאַלייזינג הטטפּ פאַרקער, מיר קענען פילטער די פּאַקיץ ניצן די פאלגענדע באַפֿעל:

tcpdump -i eth0 port 80

דעם באַפֿעל וועט כאַפּן און ווייַזן בלויז פּאַקיץ וואָס פאָרן דורך פּאָרט 80, קאַמאַנלי געניצט פֿאַר די הטטפּ פּראָטאָקאָל. אין דעם וועג, מיר קענען פאָקוס אויף וועב פאַרקער אַנאַליסיס און ויסמיידן צו אָפּשאַצן ירעלאַוואַנט פּאַקאַדזשאַז.

אין אַדישאַן צו די יקערדיק פילטערס, ‍tcpdump‌ אויך אַלאַוז פילטער פּאַקיץ לויט אינהאַלט. דאָס ינוואַלווז זוכן פֿאַר אַ ספּעציפיש שטריקל פון דאַטן אין די אינהאַלט פון די קאַפּטשערד פּאַקיץ. פֿאַר בייַשפּיל, אויב מיר ווילן צו כאַפּן אַלע פּאַקיץ וואָס אַנטהאַלטן דעם וואָרט "פּאַראָל" אין זייער אינהאַלט, מיר קענען נוצן די פאלגענדע באַפֿעל:

tcpdump -i eth0 -A -s0 -w paquetes.pcap 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x70617373'

מיט דעם באַפֿעל, tcpdump וועט כאַפּן און קראָם אין דער טעקע "packages.pcap" אַלע פּאַקיץ וואָס אַנטהאַלטן דעם שטריקל "פּאַראָל". ⁤מיר קענען דערנאָך אַנאַלייז דעם טעקע אין דעטאַל צו געפֿינען באַטייַטיק אינפֿאָרמאַציע, ידענטיפיצירן מעגלעך וואַלנעראַביליטיז און פֿאַרבעסערן נעץ זיכערהייט.

אין קורץ, tcpdump איז אַ שטאַרק געצייַג פֿאַר קאַפּטשערינג און אַנאַלייזינג נעץ פּאַקיץ. די פֿילטרירונג קייפּאַבילאַטיז דורך IP אַדרעס, פּאָרט, פּראָטאָקאָל און אינהאַלט לאָזן פאָקוס אויף באַטייַטיק אינפֿאָרמאַציע און ויסמיידן וידעפדיק ומנייטיק דאַטן. צי פֿאַר דיאַגנאָסיס, נעץ מאָניטאָרינג אָדער זיכערהייט צוועקן, tcpdump איז אַ פאַרלאָזלעך ברירה פֿאַר יעדער נעטוואָרקינג פּראָפעסיאָנאַל.

- רעקאַמאַנדיישאַנז פֿאַר עפעקטיוו און זיכער פֿילטרירונג מיט tcpdump

ווען עס קומט צו פילטער פּאַקיץ לויט זייער אינהאַלט מיט tcpdump, עס איז וויכטיק צו ענשור אַז פֿילטרירונג איז עפעקטיוו און זיכער. צו דערגרייכן דעם, מיר פאָרשטעלן עטלעכע רעקאַמאַנדיישאַנז וואָס וועט זיין זייער נוציק פֿאַר איר:

1. ניצן רעגולער אויסדרוקן: tcpdump אַלאַוז די נוצן פון רעגולער אויסדרוקן צו פילטער פּאַקיץ באזירט אויף אינהאַלט. דאָס גיט איר גרויס בייגיקייט צו ספּעציפיצירן ספּעציפיש זוכן פּאַטערנז און פילטער בלויז פּאַקיץ וואָס טרעפן די פּאַטערנז. איר קענען נוצן די "-s" פאָן צוזאמען מיט אַ רעגולער אויסדרוק צו צולייגן פֿילטרירונג.

2. דעפינירן די צונעמען פילטער: צו באַקומען פּינטלעך רעזולטאַטן, עס איז שליסל צו ריכטיק דעפינירן די פילטער. איר מוזן קלאר ידענטיפיצירן וואָס טיפּ פון אינהאַלט איר זוכט פֿאַר אין די פּאַקיץ, צי עס איז אַן IP אַדרעס, אַ פּאָרט אָדער אַ ספּעציפיש טעקסט שטריקל. אויך, זיין זיכער צו פאַרבינדן לאַדזשיקאַל אָפּערייטערז ריכטיק צו ראַפינירן די פֿילטרירונג און באַקומען די געוואלט רעזולטאַטן.

3. באַגרענעצן די פאַרנעם פון פֿילטרירונג: ⁢ עס איז וויכטיק צו טאָן אַז tcpdump קאַפּטשערז אַלע פּאַקיץ וואָס פאָרן דורך אַ נעץ צובינד. דאָס קען פירן צו אַ גרויס סומע פון אַנוואָנטיד דאַטן און מאַכן אַנאַליסיס שווער. דעריבער, מיר רעקאָמענדירן אַז איר באַגרענעצן די פאַרנעם פון פֿילטרירונג ווי פיל ווי מעגלעך צו ויסמיידן אינפֿאָרמאַציע אָווערלאָאַד און פאַרגיכערן די אַנאַליסיס פּראָצעס.

סעבאַסטיאַן ווידאַל

איך בין Sebastián Vidal, אַ קאָמפּיוטער ינזשעניר לייַדנשאַפטלעך וועגן טעכנאָלאָגיע און דיי. דערצו, איך בין דער באשעפער פון tecnobits.com, ווו איך טיילן טוטאָריאַלז צו מאַכן טעכנאָלאָגיע מער צוטריטלעך און פאַרשטיייק פֿאַר אַלעמען.