Довольно часто в системном администрировании возникают ситуации, для которых необходимо видеть подробную «картину» того, что происходит с передачей данных по сети. Проследить за трафиком и выявить проблемы в таких случаях позволяют утилиты-анализаторы пакетов. Одной из таких (и самой распространённой) является tcpdump – стандартный анализатор пакетов для Linux-систем.
Кроме tcpdump существуют и другие инструменты для анализа сетевого трафика, например такие как Wireshark и Tshark, которые являются усовершенствованными версиями tcpdump, но стандартным и до сих пор эффективным остаётся утилита tcpdump. С её помощью можно перехватывать, фильтровать по определённому критерию, а также выводить пакеты. Нужно заметить, что для полноценного доступа к пакетам необходимо запускать tcpdump от имени суперпользователя, поскольку сами пакеты — это низкоуровневые объекты системы. Кроме этого существуют определённые условия, в зависимости от сетевого оборудования, которые позволяют (или не позволяют) перехватывать все или только определённые пакеты или предоставлять только определённую информацию о них. Сетевое оборудование (сетевая карта, маршрутизатор и т. д.) должны поддерживать/разрешать доступ к пакетам, т. е. иметь (или предоставлять) механизм для передачи сведений о пакетах на более высокий программный уровень и в этом случае tcpdump, как впрочем и другие анализаторы пакетов, оказываются максимально эффективными. Кстати, аппаратные интерфейсы, если они работают в режиме «promiscuous mode», т. е. в так называемом «беспорядочном» режиме, позволяют системному ядру «видеть» все пакеты, т. е. даже и те, что адресуются для других компьютеров и устройств.
Принцип работы tcpdump
Как уже отмечалось, tcpdump является стандартной утилитой для анализа сетевого трафика в дистрибутивах Linux. Автором утилиты является Ван Якобсон. За всё время своего применения tcpdump проявил себя как весьма эффективный и надёжный инструмент. Поэтому в настоящее время многие аналоги в качестве основного формата файлов для чтения/записи результатов трассировки трафика используют формат tcpdump – libcap.
При запуске tcpdump автоматически производит поиск сетевых интерфейсов и для анализа использует первый найденный. Поэтому нужно обращать внимание на вывод, чтобы удостовериться, что анализируется нужный интерфейс. В противном случае легко вручную задать использование нужного интерфейса. Утилита умеет работать в режиме, который очень полезен при неработоспособной или слишком медленной службе DNS, т. е. когда есть риск потери пакетов до того как их сможет проанализировать tcpdump.
tcpdump опции
Для задания нужного сетевого интерфейса следует использовать опцию -i. Если необходимо знать адреса устройств (компьютеров, оборудования), то нужно задавать опцию -n. Это также очень полезно при проблемах с DNS. Опция -r позволяет читать информацию о пакетах из файла. Когда необходимы более подробные сведения о пакетах — поможет опция -v. Также существует опция -w для фиксирования информации в файле. Следует отметить, что в случае использования опции -w в файл записывается информация только о заголовках пакетов. Опция -s со значением 1056 (хотя это значение зависит от размера MTU-пакета) позволяет (совместно с -w) писать в файл дополнительную информацию. Объёмы данных могут быть очень большими и сложными по своей структуре (несмотря на то, что это текст) и поэтому в дальнейшем для их обработки рекомендуется использовать соответствующие высокопроизводительные утилиты, например awk.
Формат команды tcpdump следующий:
tcpdump [-опции] [фильтры]
В официальной документации (команда man tcpdump) можно найти несколько примеров использования этой утилиты для разных случаев с применением довольно разнообразных и сложных фильтров.
Важно заметить также, что tcpdump (да и вообще все анализаторы пакетов) при своей работе могут генерировать огромные массивы информации и сильно загружать работу сети, вплоть до отказов в её работе. Поэтому при анализе трафика следует применять рациональный подход — в зависимости от ситуации и условий задачи (или проблемы) использовать фильтры, тем более, что это является очень эффективной частью функционала tcpdump.
Наиболее часто используемые ключи при запуске tcpdump приведены таблице
|
ключ |
описание |
|
-a |
Преобразовывает сетевые и широковещательные адреса в доменные имена. |
|
-e |
Отображает данные канального уровня (MAC-адрес, протокол, длина пакета). Помимо IP-адресов будут отображаться MAC-адреса компьютеров. |
|
-F файл |
Использовать фильтр, находящийся в файле. Если вы используете этот параметр, фильтр из командной строки будет игнорироваться. |
|
-i |
Указывает на то, какой сетевой интерфейс будет использоваться для захвата пакетов. По умолчанию — eth0, для выбора всех интерфейсов — any. Если отсутствует локальная сеть, то можно воспользоваться интерфейсом обратной связи lo. |
|
-l |
Использовать стандартный потоковый вывод tcpdump (stdout), например для записи в файл: shell# tcpdump -l | tee out.log //отобразит работу tcpdump и сохранит результат в файле out.log |
|
-N |
Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит ‘net’ вместо ‘net.library.org’ |
|
-n |
Отображает IP-адрес вместо имени хоста. |
|
-nn |
Отображает номер порта вместо используемого им протокола. |
|
-p |
Не переводит интерфейс в режим приема всех пакетов (promiscuous mode). |
|
-q |
Выводит минимум информации. Обычно это имя протокола, откуда и куда шел пакет, порты и количество переданных данных. |
|
-r |
Этот параметр позволяет tcpdump прочесть трафик из файла, если он был предварительно сохранен параметром -w. |
|
-S |
Позволяет не обрабатывать абсолютные порядковые номера (initial sequence number — ISN) в относительные. |
|
-s число |
Количество байтов пакета, которые будет обрабатывать tcpdump. При установке большого числа отображаемых байтов информация может не уместиться на экране и её будет трудно изучать. В зависимости от того, какие цели вы преследуете, и следует выбирать значение этого параметра. По умолчанию tcpdump захватывает первые 68 байт (для SunOS минимум 96 байт), однако если вы хотите увидеть содержимое всего пакета, используйте значение в 1514 байт (максимально допустимый размер кадра в сети Ethernet). |
|
-t |
Не отображает метку времени в каждой строке. |
|
-T тип |
Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb. |
|
-tt |
Отображает неформатированную метку времени в каждой строке. |
|
-tttt |
Показывает время вместе с датой. |
|
-v |
Вывод подробной информации (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных сумм IP и ICMP-заголовков) |
|
-vv |
Вывод ещё более полной информации, в основном касается NFS и SMB. |
|
-vvv |
Вывод максимально подробной информации. |
|
-w файл |
Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку. Возможен вывод двоичных данных на консоль, для этого необходимо использовать -w — |
|
-x |
Делает распечатку пакета в шестнадцатеричной системе, полезно для более детального анализа пакета. Количество отображаемых данных зависит от параметра -s |
|
-xx |
То же, что и предыдущий параметр -x, но включает в себя заголовок канального уровня |
|
-X |
Выводит пакет в ASCII- и hex-формате. Полезно в случае анализа инцидента связанного со взломом, так как позволяет просмотреть какая текстовая информация передавалась во время соединения. |
|
-XX |
То же, что и предыдущий параметр -X, но включает заголовок канального уровня. |
|
-с число |
tcpdump завершит работу после получения указанного числа пакетов. |
|
-U |
Собранные пакеты будут сразу складываться в файл, а иначе копиться в памяти до тех пор, пока она не закончится |
Фильтры tcpdump
Фильтры разделяются на следующие классификации
Тип:
host— адрес узла сети
port – порт на котором нужно ловить пакеты
portrange – диапазон портов
net – сеть
пример
tcpdump net 192.168.0.0/24
захват всего трафика в котором в качестве источника или получателя стоят ip адреса из сети 192.168.0.0/24
tcpdump port 80
Будет захватываться весь трафик на 80-м порту.
Направление трафика по отношению к объекту мониторинга
src – отправитель
dst — получатель
например команда
src host 172.31.25.200
Захват трафика у которого отправитель ip адрес 172.31.25.200
Протокол
ether – базовая сетевая технология Ethernet, как правило указывает на то что в фильтре используется аппаратный MAC адрес
ip – протокол IPv4
ip6 – протокол IPv6
arp – протокол ARP
tcp – протокол TCP
udp – протокол UDP
Если протокол не указан, то будет захвачен трафик по все протоколам
Например команда
udp port 5060
захват трафика по протоколу udp порт 5060
Составные фильтры
Для того что бы более гибко фильтровать трафик можно использовать логические операции
«И» – and (&&)
«ИЛИ» – or (||)
«НЕ» – not (!) – инверсия значения
При этом приоритет этих операций следующий:
наивысшим приоритетом обладает операция инверсии
потом логическое «И»
наименьшим приоритетом обладает операция «ИЛИ».
Приоритет операций можно менять с помощью круглых скобок.
(net 172.16.0.0/24 or host 172.31.0.5) and tcp port 80
захват трафика протокола TCP и использующего порт 80 принадлежащего сети 172.16.0.0/24 или хосту 172.31.0.5, как любому хосту по отдельности так и вместе
(net 172.16.0.0/24 || host 172.31.0.5) && not tcp port 80
захват любого трафика кроме трафика протокола TCP и использующего порт 80 принадлежащего сети 172.16.0.0/24 или хосту 172.31.0.5 как любому хосту по отдельности так и вместе
tcpdump linux примеры
Запись вывода в файл
$ sudo tcpdump -w sshtrace.tcpdump tcp port 22
Файл sshtrace.tcpdump при этом будет по-умолчанию создан в домашнем каталоге текущего пользователя. Для вывода информации из файла myrouter.tcpdump следует использовать опцию -r:
$ tcpdump -r sshtrace.tcpdump
Снять весь трафик с интерфейса eth1
$ tcpdump –i eth1
Снять трафик с диапазона портов на интерфейсе eth1
$ tcpdump -i eth1 portrange 100-200
весь трафик, идущий к 172.16.0.1, который не является ICMP.
tcpdump dst 172.16.0.1 and not icmp
Ловим весь входящий трафик, исключая трафик генерируемый нашей SSH-сессией.
$ tcpdump -i eth0 -n -nn -ttt 'dst host 172.16.0.10 and not ( src host 172.16.0.11 and dst port 22 )'
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
