A Linux tcpdump paranccsal elemezheti a hálózatán belül elküldött csomagokat. Számos opció és szűrő használható az elemzés további optimalizálására.

Mi az a Linux tcpdump?

A Linux hálózati forgalmának elemzéséhez és esetleges hálózati problémák kijavításához a tcpdump egy értékes eszköz. A parancssori program szinte minden általános Linux-disztribúcióra, pl. Debianra vagy Ubuntu-ra előre telepítve van, és információkat továbbít a hálózaton küldött vagy fogadott adatcsomagokról. Neve ellenére a Linux tcpdump nem csak TCP-csomagokhoz alkalmas, hanem UDP- és ICMP-csomagokat is elemezhet. A parancs használatához azonban root jogosultságokra van szükség.

Hogyan működik a tcpdump parancs?

A tcpdump által végzett elemzést általában „sniffingnek” nevezik. A Linux tcpdump paranccsal megadhatja a program által figyelendő hálózati interfészt. A folyamat testreszabásához és optimalizálásához a tcpdump számos szűrőt kínál. A parancsot a parancssorban hajtják végre, és az eredményül kapott elemzés ennek megfelelően jelenik meg.

Mi a tcpdump szintaxisa?

A Linux tcpdump szintaxisa nagyon egyszerű, és így néz ki:

$ tcpdump [Options] [Filter]
bash

Bár az opciók megadása nem kötelező, ajánlott, hogy a tcpdump a megfelelő hálózati interfészt vegye figyelembe. Ezenkívül a szűrők használata opcionális, de nagyon hasznos. Szűrők nélkül a tcpdump minden gazdagépről érkező összes csomagot elemzi, ami gyorsan túlterhelővé és zavarossá válhat.

Melyek a Linux tcpdump parancs opciói és szűrői?

A tcpdump számos beállítást és szűrőt kínál. A legfontosabbak a következők:

  • -A: A csomag tartalmát ASCII formátumban adja ki.
  • -c [Mennyiség]: A tcpdump automatikusan leáll, ha egy bizonyos számú csomagot elemezett.
  • -D: Ezzel az opcióval az összes rendelkezésre álló interfész felsorolásra kerül.
  • -i [Interfész]: Ezzel az opcióval megadhatja, melyik interfészt szeretné rögzíteni.
  • -s [Mennyiség]: Ezzel az opcióval megadhatja, hogy csomagonként hány bájtot kell rögzíteni.

Ezeket a szűrőket használhatja a tcpdump programhoz:

  • dst: Csak azok a csomagok kerülnek feldolgozásra, amelyek célállomása a megadott értékkel rendelkezik. Ez lehet gazdagép, hálózat, port vagy porttartomány.
  • host: A szűrő biztosítja, hogy csak azok a csomagok kerüljenek figyelembevételre, amelyek forrásként vagy célként egy adott IP-címet vagy alternatívaként egy adott gazdagépnevet tartalmaznak.
  • net: Ez a szűrő csak azokat a csomagokat veszi figyelembe, amelyek forrásként vagy célként egy megadott hálózati tartományból származó IP-címet tartalmaznak.
  • port: Ezzel a szűrővel megadhat egy 0 és 65535 közötti portot, amelyet kizárólagosan elemezzen.
  • portrange: Ez a szűrő 0 és 65535 közötti porttartományt tartalmaz.
  • proto: Ez a szűrő csak a meghatározott hálózati protokollal rendelkező csomagokat veszi figyelembe. A szűrő a következő értékeket veheti fel: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp vagy wlan.
  • src: Csomagok elemzése meghatározott kritériumok, például gazdagép, hálózat, port vagy porttartomány alapján.

Példák a tcpdump parancs használatára

Végül megmutatjuk, hogyan kell használni a tcpdump parancsot. Példáinkban a Linux sudo parancsot használjuk.

$ sudo tcpdump -D
bash

Ellenőrizze, mely hálózati interfészek állnak rendelkezésre.

$ sudo tcpdump -i wlx14a3c782966b
bash

Csak a megadott nevű interfészt elemezze.

$ sudo tcpdump -c 5 -i wlx14a3c782966b
bash

Ezzel elérheted, hogy a tcpdump csak öt csomagot vegyen fel.

Ugrás a főmenübe