12 Perintah TCPDUMP - Alat Sniffer Jaringan
- 2920
- 769
- Karl O'Connell DDS
Dalam artikel kami sebelumnya, kami telah melihat 20 perintah NetStat (NetStat sekarang diganti dengan perintah SS) untuk memantau atau mengelola jaringan Linux. Ini adalah serangkaian alat sniffer paket kami yang sedang berlangsung yang disebut tcpdump. Di sini, kami akan menunjukkan kepada Anda cara menginstal tcpdump Dan kemudian kita membahas dan membahas beberapa perintah yang berguna dengan contoh praktisnya.
Contoh perintah linux tcpdump tcpdump adalah alat sniffer baris perintah yang paling kuat dan banyak digunakan atau alat penganalisa paket yang digunakan untuk menangkap atau memfilter TCP/IP paket yang diterima atau ditransfer melalui jaringan pada antarmuka tertentu.
[Anda mungkin juga menyukai: 16 alat pemantauan bandwidth yang berguna untuk menganalisis penggunaan jaringan di Linux]
Itu tersedia di bawah sebagian besar Berbasis Linux/Unix sistem operasi. TCPDUMP juga memberi kami opsi untuk menyimpan paket yang ditangkap dalam file untuk analisis di masa mendatang. Itu menyimpan file di PCAP Format, yang dapat dilihat dengan perintah TCPDUMP atau alat berbasis GUI open-source yang disebut Wireshark (Network Protocol Analyzer) yang membaca TCPDUMP PCAP format file.
Cara menginstal tcpdump di linux
Banyak distribusi linux sudah dikirimkan dengan tcpdump Alat, jika jika Anda tidak memilikinya pada suatu sistem, Anda dapat menginstalnya menggunakan salah satu dari perintah berikut.
$ sudo apt-get install tcpdump [on Debian, Ubuntu dan Mint] $ sudo yum menginstal tcpdump [on Rhel/centos/fedora Dan Linux Rocky/Almalinux] $ sudo emerge -se sys -apps/tcpdump [on Gentoo Linux] $ sudo pacman -s tcpdump [on Arch Linux] $ sudo zypper menginstal tcpdump [on OpenSuse]
Memulai dengan contoh perintah tcpdump
Sekali tcpdump Alat diinstal pada sistem Anda, Anda dapat terus menelusuri perintah berikut dengan contohnya.
1. Menangkap paket dari antarmuka tertentu
Layar perintah akan menggulir ke atas sampai Anda mengganggu dan saat kami menjalankan tcpdump Perintah itu akan menangkap dari semua antarmuka, namun dengan -Saya Beralih hanya menangkap dari antarmuka yang diinginkan.
# tcpdump -i eth0 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk decode protokol penuh mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 11:33:31.976358 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 3500440357: 3500440553, ACK 3652628334, Menang 18760, Panjang 196 11:33:31.976603 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 196, menang 64487, panjang 0 11:33:31.977243 ARP, minta tecmint siapa.com Tell 172.16.25.126, panjang 28 11:33:31.977359 ARP, balas tecmint.com is-at 00: 14: 5e: 67: 26: 1d (oui tidak diketahui), panjang 46 11:33:31.977367 IP 172.16.25.126.54807> tecmint.com: 4240+ ptr? 125.25.16.172.in-addr.Arpa. (44) 11:33:31.977599 IP Tecmint.com> 172.16.25.126.54807: 4240 nxdomain 0/1/0 (121) 11:33:31.977742 IP 172.16.25.126.44519> tecmint.com: 40988+ PTR? 126.25.16.172.in-addr.Arpa. (44) 11:33:32.028747 IP 172.16.20.33.netbios-ns> 172.16.31.255.NetBIOS-NS: Paket UDP NBT (137): kueri; MEMINTA; Siaran 11:33:32.112045 IP 172.16.21.153.netbios-ns> 172.16.31.255.NetBIOS-NS: Paket UDP NBT (137): kueri; MEMINTA; Siaran 11:33:32.115606 IP 172.16.21.144.netbios-ns> 172.16.31.255.NetBIOS-NS: Paket UDP NBT (137): kueri; MEMINTA; Siaran 11:33:32.156576 ARP, minta siapa-has 172.16.16.37 Tell Old-oracleHp1.Midcorp.pagi menjelang siang.com, panjang 46 11:33:32.348738 IP Tecmint.com> 172.16.25.126.44519: 40988 nxdomain 0/1/0 (121)
2. Hanya menangkap n jumlah paket
Saat Anda menjalankan tcpdump Perintah itu akan menangkap semua paket untuk antarmuka yang ditentukan, sampai Anda memukul tombol batal. Tetapi menggunakan -C Opsi, Anda dapat menangkap sejumlah paket tertentu. Contoh di bawah ini hanya akan menangkap 6 paket.
# tcpdump -c 5 -i eth0 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk decode protokol penuh mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 11:40:20.281355 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 3500447285: 3500447481, ACK 3652629474, menang 18760, panjang 196 11:40:20.281586 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 196, menang 65235, panjang 0 11:40:20.282244 ARP, minta tecmint siapa.com Tell 172.16.25.126, panjang 28 11:40:20.282360 ARP, Balas Tecmint.com is-at 00: 14: 5e: 67: 26: 1d (oui tidak diketahui), panjang 46 11:40:20.282369 IP 172.16.25.126.53216> tecmint.com.Domain: 49504+ PTR? 125.25.16.172.in-addr.Arpa. (44) 11:40:20.332494 IP Tecmint.com.netbios-ssn> 172.16.26.17.nimaux: bendera [p.], SEQ 3058424861: 3058424914, ACK 693912021, Menangkan 64190, Panjang Paket Sesi NBT: Pesan Sesi 6 paket ditangkap 23 paket yang diterima oleh filter 0 paket yang dijatuhkan oleh kernel
3. Cetak paket yang ditangkap di ASCII
Di bawah tcpdump Perintah dengan opsi -A menampilkan paket di ASCII format. Ini adalah format skema pengkodean karakter.
# tcpdump -a -i eth0 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk protokol penuh mendekode mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 09:31:31.347508 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 3329372346: 3329372542, ACK 4193416789, menang 17688, panjang 196 m.r0 ... vup.E.X… ~.%…> N ... Ofk… kq…) eq.D.,… R^l… m \ [email dilindungi] _ ... j… i.*... 2f.MQH… q.C… 6… 9.v.GB…;… 4.).Uicy]… 9… x.) ... z.Xf… '| ... e… m… u.5… UL 09:31:31.347760 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Bendera [.], ACK 196, Menangkan 64351, Panjang 0 m… Vu.R1 ~ P… _… ^C09: 31: 31.349560 IP 192.168.0.2.46393> b.Penyelidik.Tingkat 3.bersih.Domain: 11148+ PTR? 1.0.168.192.in-addr.Arpa. (42) [Email Dilindungi]@… 9.5.2.f+… 1.0.168.192.in-addr.ARPA ... 3 paket yang ditangkap 11 paket yang diterima oleh filter 0 paket yang dijatuhkan oleh kernel
4. Tampilkan antarmuka yang tersedia
Untuk mencantumkan jumlah antarmuka yang tersedia pada sistem, jalankan perintah berikut dengan -D pilihan.
# tcpdump -D 1.eth0 2.Eth1 3.USBMON1 (USB Bus Nomor 1) 4.USBMON2 (USB Bus Nomor 2) 5.USBMON3 (USB Bus Nomor 3) 6.USBMON4 (USB Bus Nomor 4) 7.USBMON5 (USB Bus Nomor 5) 8.Setiap (perangkat semu yang menangkap di semua antarmuka) 9.lo
5. Tampilan paket yang ditangkap di Hex dan ASCII
Perintah berikut dengan opsi -Xx menangkap data setiap paket, termasuk tajuk level link di Hex Dan ASCII format.
# tcpdump -xx -i eth0 11:51:18.974360 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 3509235537: 3509235733, ACK 3652638190, Menang 18760, Panjang 196 0x0000: B8AC 6F2E 57B3 0001 6C99 1468 0800 4510….W… l… H… E. 0x0010: 00ec 8783 4000 4006 275d AC10 197E AC10 [Email Dilindungi]@.']… ~… 0x0020: 197d 0016 1129 D12A AF51 D9B6 D5EE 5018 .…).*.Q… p. 0x0030: 4948 8BFA 0000 0E12 EA4D 22D1 67C0 F123 IH… M ".G… # 0x0040: 9013 8F68 AA70 29F3 2EFC C512 5660 4FE8… H.p)… v'o. 0x0050: 590a D631 F939 DD06 E36A 69ed CAC2 95B6 Y… 1.9… JI… 0x0060: F8BA B42A 344B 8E56 A5C4 B3A2 ED82 C3A1… *4K.V… 0x0070: 80C8 7980 11AC 9BD7 5B01 18D5 8180 4536 ... y… [... E6 0x0080: 30FD 4F6D 4190 F66F 2E24 E877 ED23 8EB0 0.Oma… o.$.w.#... 0x0090: 5A1D F3EC 4BE4 E0FB 8553 7C85 17D9 866F Z… K… S |… O 0x00A0: C279 0D9C 8F9D 445B 7B01 81EB 1B63 7F12 .y… d [… c… 0x00b0: 71b3 1357 52c7 CF00 95C6 C9F6 63B1 CA51 Q… WR… C… Q 0x00C0: 0AC6 456E 0620 38E6 10CB 6139 FB2A A756… EN… 8… A9.*.V 0x00D0: 37D6 C5F3 F5F3 D8E8 3316 D14F D7AB FD93 7… 3… O… 0x00E0: 1137 61C1 6A5C B4D1 DDDA 380A F782 D983 .7a.J \… 8… 0x00f0: 62ff A5A9 BB39 4F80 668A B… 9o.F. 11:51:18.974759 IP 172.16.25.126.60952> MDDC-01.Midcorp.pagi menjelang siang.com.Domain: 14620+ PTR? 125.25.16.172.in-addr.Arpa. (44) 0x0000: 0014 5E67 261D 0001 6C99 1468 0800 4500… ^g & ... l… h… e. 0x0010: 0048 5A83 4000 4011 5E25 AC10 197E AC10 [Email Dilindungi]@.^%… ~… 0x0020: 105e EE18 0035 0034 8242 391C 0100 0001 .^... 5.4.B9… 0x0030: 0000 0000 0000 0331 3235 0232 3502 3136… 125.25.16 0x0040: 0331 3732 0769 6E2D 6164 6472 0461 7270 .172.in-addr.ARP 0x0050: 6100 000C 0001 A…
6. Menangkap dan menyimpan paket dalam file
Seperti yang kami katakan, itu tcpdump memiliki fitur untuk menangkap dan menyimpan file di .PCAP format, untuk melakukan ini cukup jalankan perintah dengan -w pilihan.
# tcpdump -W 0001.PCAP -I eth0 TCPDUMP: Mendengarkan Eth0, tautan tipe EN10MB (Ethernet), Capture Size 65535 Bytes 4 Paket yang Diambil 4 Paket Diterima Dengan Filter 0 Paket Ditinggalkan oleh Kernel
7. Baca file paket yang ditangkap
Untuk membaca dan menganalisis paket yang ditangkap 0001.PCAP File Gunakan perintah dengan -R opsi, seperti yang ditunjukkan di bawah ini.
# tcpdump -r 0001.PCAP Membaca dari File 0001.PCAP, tautan tipe EN10MB (Ethernet) 09:59:34.839117 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 3353041614: 3353041746, ACK 4193563273, menang 18760, panjang 132 09:59:34.963022 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Bendera [.], ACK 132, Menangkan 65351, Panjang 0 09:59:36.935309 IP 192.168.0.1.netbios-dgm> 192.168.0.255.Netbios-DGM: Paket UDP NBT (138) 09:59:37.528731 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.ssh: bendera [p.], SEQ 1:53, ACK 132, Menangkan 65351, Panjang 5
8. Menangkap paket alamat IP
Untuk menangkap paket untuk antarmuka tertentu, jalankan perintah berikut dengan opsi -N.
# tcpdump -n -i eth0 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk protokol penuh mendekode mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 12:07:03.952358 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 3509512873: 3509513069, ACK 3652639034, Menang 18760, Panjang 196 12:07:03.952602 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 196, menang 64171, panjang 0 12:07:03.953311 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 196: 504, ACK 1, Menangkan 18760, Panjang 308 12:07:03.954288 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 504: 668, ACK 1, Menangkan 18760, Panjang 164 12:07:03.954502 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 668, Menangkan 65535, Panjang 0 12:07:03.955298 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 668: 944, ACK 1, Menangkan 18760, Panjang 276 12:07:03.955425 IP 172.16.23.16.netbios-ns> 172.16.31.255.NetBIOS-NS: Paket UDP NBT (137): Pendaftaran; MEMINTA; Siaran 12:07:03.956299 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 944: 1236, ACK 1, Menangkan 18760, Panjang 292 12:07:03.956535 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 1236, menang 64967, panjang 0
9. Hanya menangkap paket TCP.
Untuk menangkap paket berdasarkan TCP port, jalankan perintah berikut dengan opsi TCP.
# tcpdump -i eth0 tcp tcpdump: output verbose ditekan, gunakan -v atau -vv untuk didekode protokol penuh mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 12:10:36.216358 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 3509646029: 3509646225, ACK 3652640142, menang 18760, panjang 196 12:10:36.216592 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 196, menang 64687, panjang 0 12:10:36.219069 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 196: 504, ACK 1, menang 18760, panjang 308 12:10:36.220039 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 504: 668, ACK 1, Menangkan 18760, Panjang 164 12:10:36.220260 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 668, Menangkan 64215, Panjang 0 12:10:36.222045 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 668: 944, ACK 1, Menangkan 18760, Panjang 276 12:10:36.223036 IP 172.16.25.126.SSH> 172.16.25.125.apwi-rxspooler: bendera [p.], SEQ 944: 1108, ACK 1, Menangkan 18760, Panjang 164 12:10:36.223252 IP 172.16.25.125.APWI-RXSPOOLER> 172.16.25.126.SSH: Bendera [.], ACK 1108, Menangkan 65535, Panjang 0 ^C12: 10: 36.223461 IP mid-pay.Midcorp.pagi menjelang siang.com.netbios-ssn> 172.16.22.183.Resep: Bendera [.], SEQ 283256512: 283256513, ACK 550465221, Menangkan 65531, Panjang 1 [| SMB]
10. Paket Capture dari port tertentu
Katakanlah Anda ingin menangkap paket untuk port tertentu 22, jalankan perintah di bawah ini dengan menentukan nomor port 22 seperti yang ditunjukkan di bawah ini.
# tcpdump -i eth0 port 22 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk protokol penuh mendekode mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 10:37:49.056927 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 3364204694: 3364204890, ACK 4193655445, Menang 20904, Panjang 196 10:37:49.196436 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 4294967244: 196, ACK 1, Menangkan 20904, Panjang 248 10:37:49.196615 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Bendera [.], ACK 196, menang 64491, panjang 0 10:37:49.379298 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 196: 616, ACK 1, Menang 20904, Panjang 420 10:37:49.381080 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 616: 780, ACK 1, Menangkan 20904, Panjang 164 10:37:49.381322 IP 192.168.0.1.Nokia-Ann-Ch1> 192.168.0.2.SSH: Bendera [.], ACK 780, menang 65535, panjang 0
11. Menangkap paket dari Sumber IP
Untuk menangkap paket dari sumber AKU P, Katakanlah Anda ingin menangkap paket untuk 192.168.0.2, Gunakan perintah sebagai berikut.
# tcpdump -i eth0 src 192.168.0.2 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk decode protokol penuh mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 10:49:15.746474 IP 192.168.0.2.SSH> 192.168.0.1.nokia-ann-ch1: bendera [p.], SEQ 3364578842: 3364579038, ACK 4193668445, Menang 20904, Panjang 196 10:49:15.748554 IP 192.168.0.2.56200> b.Penyelidik.Tingkat 3.bersih.Domain: 11289+ PTR? 1.0.168.192.in-addr.Arpa. (42) 10:49:15.912165 IP 192.168.0.2.56234> b.Penyelidik.Tingkat 3.bersih.Domain: 53106+ PTR? 2.0.168.192.in-addr.Arpa. (42) 10:49:16.074720 IP 192.168.0.2.33961> b.Penyelidik.Tingkat 3.bersih.Domain: 38447+ PTR? 2.2.2.4.in-addr.Arpa. (38)
12. Menangkap paket dari IP tujuan
Untuk menangkap paket dari tujuan AKU P, Katakanlah Anda ingin menangkap paket untuk 50.116.66.139, Gunakan perintah sebagai berikut.
# tcpdump -i eth0 dst 50.116.66.139 tcpdump: output verbose ditekan, gunakan -v atau -vv untuk decode protokol penuh mendengarkan pada eth0, tautan tipe en10mb (ethernet), tangkap ukuran 65535 byte 10:55:01.798591 IP 192.168.0.2.59896> 50.116.66.139.http: bendera [.], ACK 2480401451, Menangkan 318, Opsi [NOP, NOP, TS VAL 7955710 ECR 804759402], Panjang 0 10:55:05.527476 IP 192.168.0.2.59894> 50.116.66.139.http: bendera [f.], SEQ 2521556029, ACK 2164168606, Menang 245, Opsi [NOP, NOP, TS VAL 7959439 ECR 804759284], Panjang 0 10:55:05.626027 IP 192.168.0.2.59894> 50.116.66.139.http: bendera [.], ACK 2, Win 245, Opsi [NOP, NOP, TS VAL 7959537 ECR 804759787], Panjang 0
Artikel ini dapat membantu Anda menjelajahi tcpdump memerintahkan mendalam dan juga untuk menangkap dan menganalisis paket di masa depan. Ada sejumlah opsi yang tersedia, Anda dapat menggunakan opsi sesuai kebutuhan Anda. Silakan bagikan jika Anda menemukan artikel ini bermanfaat melalui kotak komentar kami.
- « 10 Perintah untuk Mengumpulkan Info Sistem dan Perangkat Keras di Linux
- Cara Menginstal WordPress di Rocky Linux 8 »