Top-office11.ru

IT и мир ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что за утилита TCPdump и как ей пользоваться

Что за утилита TCPdump и как ей пользоваться

Для анализа сетевых пакетов и просмотра их содержимого одним из самых мощных методов считают именно захват этих самых пакетов. С помощью такой операции можно многое узнать о том, что и как происходит в сети. Достаточно изучить сырые данные, которые передаются таким образом. Потоки данных не просто захватываются – можно получить их интерпретацию в виде, доступном для понимания человека. В Linux сделать это можно с помощью утилиты TCPdump.

Both Trial and Commercial versions of TCPDUMP for Windows ® don’t include any license management or DRM components. The trial version automatically checks the availability of a newer version on one of our web servers, and may open corresponding web page with the default browser.

The commercial version does not need to do this: we notify registered users of the new version via email.

In addition, registered users receive both 32-bit and 64-bit versions, as well as the version compatible with Windows PE.

Предварительная обработка и анализ с помощью Wireshark

Предварительная обработка и анализ с помощью Wireshark

После создания файла «.pcap» с помощью утилиты tcpdump вы можете для анализа вашего трафика использовать богатый инструментарий графического пользовательского интерфейса программы-анализатора трафика Wireshark. Более подробно о том, как использовать Wireshark, читайте в этом разделе. Но прежде, чем перейти непосредственно к анализу, необходимо провести предварительную обработку собранных вами результатов. Среди важных вещей, которые требуют вашего внимания, следующие:

  • Формат времени.

Чтобы изменить формат даты и времени в WireShark используйте «View -> Time Display Format» («Вид» -> «Формат отображения времени»).

  • Сдвиг времени.

Способ, с помощью которого Wireshark отображает временные отметки, поначалу может сбить с толку. Если вы анализируете TCP-пакеты и хотите сравнить результаты с какими-либо другими лог-файлами сервера, вам необходимо скоррелировать временные метки, и для этого важно понимать, как сдвигать время в пакетах.

Например, у вас есть сервер ESB WSO2, работающий в часовом поясе UTC-7:00. Ваши лог-файлы ESB-системы будут сгенерированы по времени этого часового пояса, как и дампы TCP, так как будут созданы на этом же сервере. Затем вы пытаетесь проанализировать дампы TCP из часового пояса UTC+2:00.

Читать еще:  Программы для создания караоке

Теперь предположим, что некий TCP-пакет прошел через ESB-сервер в 8 часов утра 7 января 2019 года. Но когда вы откроете этот дамп TCP в своей часовой зоне для анализа времени этого пакета, оно будет отображаться как 5 часов вечера 7 января 2019 года. Это связано с тем, что Wireshark корректирует время пакета в соответствии с вашим часовым поясом.

Но когда вы захотите сравнить эти данные, например, с лог-файлами ESB-сервера, который находиться не в вашей временной зоне, а в часовом поясе UTC-7:00, вы не сможете сделать это корректно. Поэтому сначала вам нужно сдвинуть время в TCP-пакетах на 9 часов, после чего вы сможете связать его с временными метками лог-файла сервера WSO2 ESB.

Это можно сделать с помощью опции сдвига времени в Wiresharks: «Edit -> Time Shift» («Правки -> Сдвиг времени») либо с помощью программного инструментария editcap, который является частью Wiresharks и предназначен для конвертации захваченных пакетов. Более подробно про программу editcap смотрите здесь (https://www.wireshark.org/docs/man-pages/editcap.html).

Таким образом, при работе с инструментарием editcap для выше озвученного нами примера вам стоит ввести: «editcap -t 32400 mytcpdump.pcap», что будет соответствовать увеличению временных меток в вашем файле «mytcpdump.pcap» на 32400 секунд, то есть на необходимые нам +9 часов.

Более подробно об использовании временных зон в Wiresharks смотрите здесь (https://www.wireshark.org/docs/wsug_html_chunked/ChAdvTimezones.html)

  • Объединение нескольких файлов с дампами TCP.

Когда вам необходимо проверить вместе сразу несколько дампов TCP, вы можете объединить эти несколько файлов с дампами TCP в один файл. Первый способ сделать это — запустить диалоговое окно «Merge» графического интерфейса WireShark: «File -> Merge» («Файл -> Объединить»). Второй способ — использовать специальный программный инструментарий mergecap, входящий в пакет Wiresharks. Он был как раз и создан для объединения нескольких сохраненных файлов захвата в один выходной файл. При использовании программы mergecap введите: «mergecap -w outfile.pcap input-1.pcap input-2.pcap», где как вы уже, наверное, догадались, после аргумента «-w» идет имя выходного файла «outfile.pcap», а «input-1.pcap» и «input-2.pcap» — имена объединяемых файлов. Более подробную информацию об объединении нескольких файлов в один с помощью возможностей WireShark вы можете почерпнуть здесь (https://www.wireshark.org/docs/wsug_html_chunked/ChIOMergeSection.html) и здесь (https://www.wireshark.org/docs/wsug_html_chunked/AppToolsmergecap.html).

  • Фильтры.
Читать еще:  Ошибка при синтаксическом анализе пакета: что делать

Wireshark предоставляет широчайшие возможности по использованию различных фильтров к дампам TCP, в том числе фильтрация по хостам, портам, IP-адресам, протоколам многим другим параметрам. Детальнее читайте здесь (https://wiki.wireshark.org/DisplayFilters).

  • Слежение за потоком.

Кроме того, Wireshark предлагает одну интересную возможность, которая, по своей сути, также является одним из многочисленных доступных фильтров. Но запустить его вы можем почти мгновенно, всего лишь кликнув правой кнопкой мыши на любом из пакетов, входящих в набор пакетов интересующего вас потока, и выбрать пункт меню «Follow TCP Stream» («Отследить TCP-поток»). Результатом этого действия будет то, что Wireshark установит соответствующий фильтр отображения и откроет диалоговое окно с отфильтрованным набором TCP-пакетов в интересующем вас потоке. Эта возможность будет очень полезной, если, к примеру, вы пытаетесь разобраться в потоке данных. Данная функциональность позволит вам увидеть протокол таким, каким его видит прикладной уровень вашего приложения. Более подробно по предоставляемым Wireshark возможностям по слежению за потоками читайте здесь (https://www.wireshark.org/docs/wsug_html_chunked/ChAdvFollowStreamSection.html).

Как блокировать?

Так или иначе у вас должен стоять iptables. Скорее всего он может быть не настроен, особенно если вы не знаете что это такое. Ранее я уже писал статью о том как им пользоваться: «Краткая памятка по Iptables» , поэтому тут я приведу только необходимые команды, чтобы решить проблему здесь и сейчас.

Вот как можно заблокировать tcp запросы на 80 порт с определенного IP:

Так мы блокируем запросы на все порты с определенного IP:

Посмотреть список уже заблокированных мы можем данными командами:

Если нам нужно удалить из блокировки определенный IP, можно воспользоваться этой командой

или можно удалить правило по его номеру, предварительно посмотрев его номер командой iptables -L -n —line-numbers:

Чтобы удалить все правила, можно воспользоваться командой:

Основы функционала

TCP возник в первоначальной сетевой реализации, в которой он дополняет Интернет-протокол (IP). Обеспечивает надежную, упорядоченную и проверенную проверку доставки потока пакетов между приложениями, запущенными на хостах, обменивающихся по IP-сети. Основные интернет-приложения (Всемирная паутина, e-mail, удаленное администрирование, передача файлов), зависят от TCP. Приложения, не требующие надежной службы потока данных, используют только протокол пользовательских дейтаграмм (UDP), который предоставляет службу датаграмм без установления соединения, которая подчеркивает снижение параметров безопасности.

Читать еще:  Драйвера для AMD Radeon R5 M230

Root access is a mod performed on the Android device to allow you to run applications at a superuser level. We will not go into the details on how to root your device on our site. There are many discussion groups / sites showing the how-to's to root your device. Needless to say, tcpdump needs to be run at a superuser level, so your device needs to be rooted. Note: Rooting your device could void its warranty.

Since tcpdump is a command line tool, you will require terminal access on your device. There are plenty of terminal access programs for the Android. Just go to the Play Store on your device, and search for Terminal Emulator, or Shell Terminal, or Command Prompt, and this will bring you to a suitable shell prompt.

Terminal access can also be from a tethered computer. If you have ADB (Android Debug Bridge), an option to connect is via the adb shell command, giving you access to a shell on your Android device from your PC.

Don't forget to «su» to superuser before you run tcpdump, otherwise you will receive a warning, «tcpdump: can't execute: Permission denied»

альтернативы

Есть несколько альтернативных программ, которые вы можете использовать, чтобы избежать прерывания команды при закрытии терминала или отключении.

Screen

Screen или GNU Screen — это программа мультиплексора терминала, которая позволяет запустить сеанс экрана и открыть любое количество окон (виртуальных терминалов) внутри этого сеанса. Процессы, запущенные в Screen, будут продолжать работать, когда их окно не видно, даже если вы отключены.

Tmux — современная альтернатива экрану GNU. С Tmux вы также можете создать сеанс и открыть несколько окон внутри этого сеанса. Сеансы Tmux являются постоянными, что означает, что программы, работающие в Tmux, продолжат работать, даже если вы закроете терминал.

Disown

disown является встроенной оболочкой, которая удаляет задание оболочки из управления заданиями оболочки. В отличие от nohup , вы также можете использовать disown на запущенных процессах.

Ссылка на основную публикацию
Adblock
detector