Tcpdump tutorial med eksempler

TCPDump er et veldig nyttig nettverksanalysatorverktøy. Du kan bruke dette verktøyet via kommandolinjegrensesnittet. Dessuten kommer dette verktøyet forhåndsinstallert med de fleste av Linux-distribusjonene som er tilgjengelige der ute. Ved hjelp av relevante eksempler vil vi kunne dele med deg noen av de vanligste bruken av dette verktøyet.

TCPDUMP Brukseksempler:

For å lære bruken av TCPDump -verktøyet på en Linux Mint 20.3 System, du kan vurdere følgende eksempler:

Eksempel 1: Hvordan bekrefte eksistensen av TCPDump -verktøyet på Linux Mint 20.3?

Før du begynner å bruke TCPDump -verktøyet, må du sørge for at dette verktøyet allerede finnes på systemet ditt. Dette kan bekreftes ved å kjøre kommandoen angitt nedenfor.

$ tcpdump --version

Følgende utgang bekrefter at TCPDump -verktøyet allerede er installert på vår Linux Mint 20.3 System:

Eksempel 2: Hvordan få tilgang til hjelpemanualen til TCPDump -verktøyet på Linux Mint 20.3?

Det anbefales også å gå gjennom hjelpemanualen for dette verktøyet før du bruker det. Du kan gjøre dette ved å utføre kommandoen vist nedenfor.

$ tcpdump -hjelp

Hjelphåndboken for TCPDUMP -verktøyet vises i følgende bilde:

Eksempel 3: Liste over alle tilgjengelige grensesnitt ved hjelp av TCPDump:

Du må kjøre kommandoen vist nedenfor for å liste opp alle tilgjengelige grensesnitt på systemet ditt.

$ tcpdump -d

Alle tilgjengelige grensesnitt i systemet vårt vises i følgende bilde:

Eksempel 4: Fang pakker fra et enkelt grensesnitt ved hjelp av TCPDump:

For å fange pakkene fra et av de tilgjengelige grensesnittene ved hjelp av TCPDump, kan du kjøre kommandoen vist nedenfor:

$ sudo tcpdump -i enp0s3

Her kan du erstatte “ENP0S3” med navnet på det aktuelle grensesnittet hvis pakker du ønsker å fange.

Denne kommandoen vil også fortsette å fange pakkene som vist i følgende bilde til du stopper det kraftig ved å trykke på Ctrl+ C. Til slutt vil den imidlertid vise et sammendrag av de totale pakkene som er fanget, mottatt og droppet.

Eksempel 5: Begrens antall fangede pakker ved hjelp av TCPDump:

Du har sett i eksemplet vist ovenfor at TCPDUMP -kommandoen fortsetter å fange pakkene til vi kraftig stopper den. Likevel er det en måte du kan begrense antall fangede pakker ved å spesifisere dette tallet på den måten som er vist nedenfor:

$ sudo tcpdump -c 3 -i enp0s3

Du kan erstatte “3” med hvilket som helst tall i henhold til de totale pakkene du vil fange.

Etter å ha fanget det spesifiserte antall pakker, vil denne kommandoen automatisk avslutte som vist i følgende bilde:

Eksempel 6: Vis de fangede pakkene i ASCII -format ved hjelp av TCPDump:

Det kan også være lurt å vise de fangede pakkene i ASCII -format. Dette kan gjøres ved å kjøre kommandoen angitt nedenfor:

$ sudo tcpdump -a -c 3 -i enp0s3

De fangede pakkene i ASCII -formatet vises i følgende bilde:

Eksempel 7: Vis de fangede pakkene i ASCII og Hex -formater ved hjelp av TCPDump:

Kommandoen vist nedenfor kan brukes til å skrive ut de fangede pakkene i ASCII- og Hex -formatene samtidig:

$ sudo tcpdump -xx -c 3 -i enp0s3

Følgende bilde viser utgangen fra denne kommandoen:

Eksempel 8: Lagre de fangede pakkene i en fil ved hjelp av TCPDump:

Hvis du vil lagre de fangede pakkene i en fil, må du kjøre kommandoen vist nedenfor:

$ sudo tcpdump -w 0001.PCAP -C 3 -I ENP0S3

Her, “0001.PCAP ”er navnet på filen som de fangede pakkene vil bli lagret.

Etter å ha lagret de fangede pakkene til den spesifiserte filen, vises følgende utgang på terminalen:

Eksempel 9: Les de fangede pakkene fra en fil ved hjelp av TCPDump:

Hvis du nå vil lese og analysere de fangede pakkene som du tidligere har lagret i en fil, må du kjøre kommandoen vist nedenfor:

$ sudo tcpdump -r 0001.PCAP

Innholdet i vår spesifiserte fil, i.e., Alle de fangede og lagrede pakkene, vises i følgende bilde:

Eksempel nr. 10: Fang bare IP -pakkene ved å bruke TCPDump:

Du kan også velge å fange bare IP -pakkene ved å kjøre kommandoen vist nedenfor:

$ sudo tcpdump -n -c 3 -i enp0s3

De fangede IP -pakkene vises i følgende bilde:

Eksempel 11: Fang bare pakker for en spesifikk protokoll ved hjelp av TCPDump:

Kommandoen angitt nedenfor kan brukes til å fange bare pakkene som bruker en spesifisert protokoll:

$ sudo tcpdump -c 3 -i enp0s3 udp

Denne kommandoen vil fange opp tre UDP -pakker fra det spesifiserte grensesnittet, som vist i følgende bilde. Du kan bruke den samme kommandoen mens du erstatter “UDP” med “TCP” for å fange TCP -pakkene.

Eksempel nr. 12: Fang pakker bare fra en spesifikk port ved hjelp av TCPDump:

Hvis du bare vil fange pakkene fra en bestemt port, må du kjøre kommandoen vist nedenfor.

$ sudo tcpdump -c 1 -i enp0s3 port 29915

Her kan du erstatte “29915” med portnummeret til porten hvis pakker du ønsker å fange.

Denne kommandoen vil ta litt tid å utføre, hvoretter du kan se pakkene som er fanget fra den spesifiserte porten.

Eksempel 13: Fang pakker fra kilden IP -adresse ved hjelp av TCPDump:

For å fange pakkene fra IP -adressen til kilden, må du kjøre følgende kommando:

$ sudo tcpdump -c 3 -i enp0s3 src 10.0.2.15

Du kan erstatte “10.0.2.15 ”med din spesielle kilde -IP -adresse.

Igjen vil denne kommandoen ta litt tid å fullføre utførelsen, hvoretter du kan se de fangede pakkene fra kilden IP -adresse.

Eksempel 14: Fang pakker fra IP -adressen til destinasjon ved hjelp av TCPDump:

Til slutt kan du også fange pakker fra destinasjons -IP -adressen ved å kjøre kommandoen vist nedenfor:

$ sudo tcpdump -c 3 -i enp0s3 dst 192.168.10.1

Her kan du erstatte “192.168.10.1 ”med den aktuelle destinasjons -IP -adressen hvis pakker du vil fange.

Etter en tid vil denne kommandoen vise de fangede pakkene fra destinasjons -IP -adressen.

Konklusjon

Denne opplæringen ledet deg om bruken av TCPDump -verktøyet på en Linux Mint 20.3 System. Ved å gå gjennom eksemplene som deles i denne opplæringen, vil du i det minste lære den grunnleggende bruken av dette ekstremt nyttige verktøyet.