• Skip to main content
  • Skip to primary sidebar
  • Skip to footer

Composs.ru

  • БАЗА ЗНАНИЙ
  • УРОКИ
    • Компьютер для чайников
    • Интернет для начинающих
    • Уроки Windows 7, 8, 10
    • Microsoft Office 2010
    • Фотография / Фотошоп
    • Социальные сети и общение
    • Мобильные устройства
    • Облако
  • СТАТЬИ
    • Apple
    • Офисные приложения
    • Windows
    • Android
    • Безопасность
    • Браузеры
    • Интересное
    • Начинающим
    • Обзоры
    • Программы
  • ОС
    • Apple
    • Android
    • Windows 10
    • Windows 8
    • Windows 7
    • Windows XP
  • ИНТЕРНЕТ
    • Сервисы
      • Google сервисы
    • Браузеры
      • Chrome
      • Firefox
      • Орбитум
    • Мобильные сети и операторы
    • Социальные сети
      • Вконтакте
      • Одноклассники
      • Facebook
      • instagram
      • Twitter
    • Электронная почта
      • Gmail почта
      • Яндекс почта
    • Электронные деньги
  • ЖЕЛЕЗО
    • Процессор
    • Видеокарта
    • Накопители (HDD, SDD, Flash)
    • Периферия
    • Сеть
    • Гаджеты
      • Смартфоны
      • Ноутбуки
      • Планшеты
      • Другие гаджеты
  • СОФТ
    • Bios
    • Безопасность
    • Офисные приложения
      • Excel
      • PowerPoint
      • Word
    • Прикладное ПО
      • Photoshop
      • Skype
    • Цифровая фотография
  • ЗАДАТЬ ВОПРОС

Что за утилита TCPdump и как ей пользоваться

18.04.2019 Операционные системы КомментироватьЗадать вопросНаписать пост

Для анализа сетевых пакетов и просмотра их содержимого одним из самых мощных методов считают именно захват этих самых пакетов. С помощью такой операции можно многое узнать о том, что и как происходит в сети. Достаточно изучить сырые данные, которые передаются таким образом. Потоки данных не просто захватываются – можно получить их интерпретацию в виде, доступном для понимания человека. В Linux сделать это можно с помощью утилиты TCPdump.

Что это такое?

Для специалистов по компьютерной безопасности утилита TCPdump может стать главным инструментом. Это важное приложение, связанное с большим количеством нюансов. Многим нравятся инструменты более высокого уровня, но такой подход часто воспринимают как ошибочный.

Программу создали для прослушивания и анализа работы сети. Благодаря дополнительным настройкам программа может проводить анализ для разных пакетов – предназначенных не только для конкретного Mac-адреса. Допустим широковещательный тип.

Доступна утилита TCPdump не только в Linux, но и Windows. Скачать оригинальный клон можно с официального сайта, но продукт платный.Что за утилита

Оборудование для подключения к сети определяет набор возможностей, доступных пользователю. Вот некоторые из них:

  1. «Трюки» с концентраторами. Коммутаторный порт, прослушка которого необходима, соединяют с участием концентратора. Узел-монитор тоже соединяют с коммутатором. Сетевое подключение отличается низкой производительностью, но результаты всё равно есть.
  2. Использование специальных средств или ответвителей. Они включаются в разрыв сетевых подключений. Передают трафик на отдельный порт, в результате чего становится доступным его прослушивание.
  3. Копирование трафика. Поддерживается только некоторыми коммутаторами.
  4. Наблюдение за коммутаторами или свичами, образующие сеть. Коммутатору доступен не только трафик сети, но и весь широковещательный трафик, связанный с сегментом.
  5. Работа в сетях на основе концентраторов.

Принцип работы

Перед началом использования утилиты TCPdump надо разобраться в том, какие она поддерживает сетевые интерфейсы. Для выполнения основных задач понадобятся права суперпользователя. Потому в первых командах важно указывать параметр, который обозначается как sudo и имя администратора, после нажатия Enter ввести  пароль.

  Что делать, если Windows заблокирован

Сочетание клавиш Ctrl + C останавливает работу того или иного заданного параметра. Все перехваченные пакеты будут отображаться в выводе практически сразу.

Формат перехвата имеет следующий вид:Формат перехвата

Такой формат поддерживает большинство пакетов, содержащих данные. Текст, выделенный чёрным цветом, может отличаться в каждом случае, в зависимости от используемого протокола. Элементы кода идут в такой последовательности:

  • временные метки;
  • протокол;
  • IP адрес отправителя;
  • адрес адресата;
  • характеристики других разновидностей;
  • измеряемый байтами размер пакетов.

—V – опция, позволяющая легко контролировать подробность вывода информации. Например, дополнительно отображаются сведения, связанные с протоколом IP.

Что может узнать пользователь конкретно:

  1. Длина поля заголовка.
  2. Версия протокола TCP.
  3. Время жизни пакета TLL.

Проверка контрольных сумм выводится при использовании команды –vv. В некоторых случаях подробно отображается содержимое пакетов.

После использования опций легко указывать фильтры, которые применяют для тех или иных пакетов. Вот лишь основные параметры, используемые при отсеивании:

  1. Несколько видов протоколов, включая udp, tcp, decnet, rarp, arp, ip6, ip. wlan, tr, fddi, ether.
  2. DST – параметр, связанный с получателем.
  3. SRC – отправитель.
  4. Port – указание адреса порта.
  5. Net – адреса сетей, подсетей.
  6. Proto – указание протокола.
  7. IP – ip адрес.
  8. Host – имя хоста.

Для получения желаемого результата разрешается комбинировать различные команды друг с другом.

Установка TCPdump

Необходимо выполнить следующие шаги, когда речь идёт о системах Debian/Ubuntu/Linux Mint: прописывают команду sudo apt – get install tcpdump.

По-другому будет выглядеть сочетание для RedHat/CentOS/Fedora: sudo yum install tcpdump.

Описание синтаксиса

Приведём несколько примеров использования TCPdump в Linux, способных заметно упростить использование приложения, для пользователей любого уровня.

Из пакета приложение принимает стандартно только первые 6896 байт. Добавление опции –s <число> позволяет получить более подробную информацию, когда возникает необходимость. Число обозначает, сколько байтов планирует перехватить тот или иной пользователь. Захват всех производится при указании комбинации –s 0 (ноль).

У самой команды синтаксис такой: $ tcpdump опции -i интерфейс фильтры

  Определяем ID компьютера

Главное – не забывать о передаче интерфейса, который будет использован. Если указания по этому отсутствуют – автоматически программа использует первый элемент из списка. Благодаря фильтрам становится проще отсеивать пакеты, не представляющие интереса для конечного пользователя. Программа поддерживает следующий набор основных ключей:

  1. Z – обозначение пользователя, от имени которого происходит создание для всех файлов.
  2. W – запись в файл для вывода.
  3. Q – команда, позволяющая вывести минимальное количество информации.
  4. Более подробный вывод предполагает применение команд –v, —vv, —vvv.
  5. R – для считывания пакетов, созданных с помощью команды w.
  6. N – отменяет отображение доменных имён.
  7. L – для вывода поддерживаемых протоколов, через которые подключают интерфейс.
  8. L – к выводу добавляют функцию прокрутки.
  9. K – после использования контрольные суммы проверяться не будут.
  10. J – просмотр доступных временных меток (TimeStamp).
  11. Маленькая j устанавливает формат Time Stamp в отношении созданных пакетов.
  12. I – переключение режима монитора, который будет действовать для всех пакетов.
  13. Маленькая i задаёт имя интерфейса при перехвате пакетов. Пакеты могут захватываться со всех интерфейсов, достаточно задать параметр any.

Основные команды и фильтры

Вставка фильтров – главная особенность, характерная для синтаксиса tcpdump. Следующее описание приводят для самых популярных вариантов:

  1. Less, greater – пакеты выводятся больше или меньше по сравнению с указанным размером.
  2. And, Or – объединение сразу нескольких фильтров внутри одной команды.
  3. Port – для отображения информации, связанной с определённым портом.
  4. Arp, upd, tcp – фильтрация с использованием одного из протоколов.
  5. Dst – для вывода с указанным адресом.
  6. SRC – выводит пакеты, отправителем которых признан конкретный адрес.
  7. IP – описание адреса протокола.
  8. NET – описание IP главной сети и подсети.
  9. HOST – чтобы указать имя хоста.

Допустимо создавать комбинации, включающие сразу несколько фильтров. Благодаря этому в выдаче информации пользователь видит только то, что действительно представляет интерес.

Примеры использования

Вариантов применения утилиты множество. Можно рассмотреть лишь наиболее интересные и популярные.

  Способы русификации Windows

Просмотр списка с интерфейсами

Каждому пользователю рекомендуют с самого начала смотреть списки текущих интерфейсов. Вариант актуален для всех отслеживаемых компонентов. Стандартно для решения вопроса применяют опцию –D. Следующая команда, внесённая в терминал, позволит получить список:

Sudo tcdump –D.

Посмотреть интерфейсы

Об обычном захвате трафика

—i – вот опция, облегчающая захват трафика. После ввода команды следует точное указание используемого интерфейса. На практике применение команд имеет примерно такой вид:

Sudo tcpdump –I ppp0

Захват трафика

Права суперпользователя обязательны, потому вначале и вводят sudo.

Нажатие клавиши Enter приводит к отображению пакетов, перехваченных в терминале. Комбинация клавиш Ctrl+C останавливает этот процесс.

При отсутствии дополнительных пакетов с фильтрами следующим образом выглядит формат, в котором отображаются пакеты:Отображаемые пакеты

Основные моменты выделены при помощи различных цветов:

  1. Красным цветом выделяют размеры, с единицей измерения в виде байтов.
  2. Дополнительная информация по TCP выделяется серым.
  3. Фиолетовым – адрес, по которому находят получателей.
  4. Отправитель и его адрес — зелёный.
  5. Протокол с его версией обозначают оранжевым.
  6. Время получения – синий цвет.

Захват трафика с помощью –V

Опция способствует увеличению количества сведений, показанных пользователю. За вводом команды ниже следует проверка по всему интерфейсу:

Sudo tcpdump –v –I ppp0

Захват трафика

В выводе может появиться такая строка:Результат работы

Расшифровать ее можно так:

  1. Красный – обозначение размера пакета.
  2. Фиолетовым обозначают версию для TCP.
  3. Зелёный – длина заголовка у полей.
  4. Синим обозначают, сколько времени живёт протокол.
  5. Оранжевый – версия протокола.

Добавление букв vv, vvv увеличит объёмы информации по протоколу.

-w и -r

Команды w и r  используют для сохранения в отдельный файл всех выводимых сведений. Потом это упрощает просмотр. Удобный вариант, чтобы сохранить большие объёмы текстов для просмотра.Команды сохранения

Есть и другие сочетания, которые используются владельцами устройств для максимально эффективной работы. Возможности этого инструмента отличаются широтой. Главное – запомнить буквенные сочетания, применимые в том или ином случае. Со временем на выполнение действий будет уходить минимум времени.

На главную
Previous Post: « Почему возникает ошибка 0xc00000e9 и как ее исправить
Next Post: Что за программы CISCO LEAP — EAP — Peap Module и зачем они используются на компьютере »

Reader Interactions

Отменить ответ

Primary Sidebar

  • Лучшие программы для Windows
  • Лучшие программы для Linux
  • Лучшие расширения для Chrome
  • Лучшие приложения для Mac OS
  • Лучшие приложения для Андроид
  • Секреты Windows 10
  • Почта Gmail.com — вход в почту и первичные настройки

  • Аккаунт Google: создание учетной записи

  • Windows обнаружила неполадки жесткого диска — что делать?

  • Что такое операционная система? Виды операционных систем

  • Как зарегистрировать Яндекс почту

  • Проблема: Как войти в почту Gmail.com — решение

  • Ccleaner — как очистить компьютер от мусора?

  • Кракозябры вместо русских букв в Windows 10

Footer

© 2012-2016 Composs.ru. Все права защищены. При копировании материалов, обратная открытая ссылка на наш сайт обязательна.

Composs.ru - ресурс для начинающих пользователей компьютера, интернета. Сайт основан в 2012 году. Основная цель нашего сайта - выпускать обучающие материалы IT-тематики для "чайников". Предоставлять качественный и суперполезный контент для всех пользователей, независимо от уровня владения ПК: советы, инструкции, статьи.
  • Карта сайта
  • Обратная связь

Copyright © 2026 · Log in