TCPDUMP filtre – odchytávanie prevádzky

TCPDUMP je nástroj, ktorý slúži na odchytávanie a analýzu paketov. Využitie nájdeme predovšetkým v príkazovom riadku Linux zariadení, kde nemôžeme využiť grafické rozhranie programu Wireshark. V tomto článku si ukážeme najviac používané filtre a prepínače pre prácu s TCPDUMP.

tcpdump logo

Filtrovanie na základe fyzického rozhrania

Pomocou prepínača -i určíme interface na ktorom chceme odchytávať prevádzku. Ak chceme odchytávať na všetkých interfacoch, môžeme použiť namiesto mena rozhrania slovo “any”.

-i eth0
-i any
tcpdump eth

Zobrazovanie viac informácií

Ak chceme vo výpise v príkazovom riadku zobraziť viac informácií z odchytených paketov, môžeme použiť prepínač -v . Čím viac “v” pridáte, tým viac informácií uvidíte. Maximálny počet stupňov je 3.

-v
-vv
-vvv
tcpdump vvv

Nekonvertuj hostnames a porty na mená

Ak nechcete, aby ste mali vo výstupe hostnames, ale IP adresy, použite prepínač -nn.

-nn
tcpdump nn

Odchyť presný počet packetov

Na produkčných zariadeniach často beží veľké množstvo prevádzky. Aby sa vám nezahltila obrazovka, môže sa zísť definovať presné množstvo paketov, ktoré chceme odchytiť. Na to slúži prepínač -c.

-c 5
tcpdump count

Uloženie odchytávania do súboru

Na uloženie výstupu do súboru môžete využiť prepínač -w. Tento súbor si môžete stiahnuť zo zariadenia, kde ste odchytávali a následne môžete súbor analyzovať vo Wiresharku, ak pre tento účel preferujete grafické rozhranie.

-w file.cap
file

Filtrovanie na základe portu

port 22
port 80

Filtrovanie na základe IP adresy

host 192.168.1.1
host

Filtrovanie na základe zdrojovej IP adresy

src 192.168.1.1 
tcpdump src

Filtrovanie na základe cieľovej IP adresy

dst 192.168.1.1 
tcpdum dst

Filtrovanie na základe subnetu

net  192.168.1.0/24
net

Filtrovanie na základe protokolu

icmp
icmp

TCPDUMP – Logické operátory

Často potrebujeme definovať niekoľko podmienok súčasne. Toto nám umožňuje použitie logických operátorov A, ALEBO, či NEGÁCIA, ako je uvedené nižšie. Dostupné sú slovné (and,or,not), aj symbolické (&&,||,!) formy. Nižšie nájdete niekoľko príkladov.

Významslovný op.symbolický op.
Aand&&
ALEBOor||
NEGÁCIAnot!

Filtrovanie na základe IP adresy a portu

host 192.168.1.1 and port 3389
port and host

Filtrovanie na základe negácie

not icmp
icmp not

Zložené podmienky

'src 192.168.1.1 and (port 3389 or 22)'
combined

Ak vás tento článok zaujal a chcete dostávať mailovú notifikáciu, pri publikovaní podobných článkov o hackingu, sieťovej bezpečnosti, Linux serveroch, Cisco zariadeniach, či o programovaní, môžete sa prihlásiť na odber článkov.

CHCEM ODOBERAŤ ČLÁNKY

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.

Táto webová stránka používa Akismet na redukciu spamu. Získajte viac informácií o tom, ako sú vaše údaje z komentárov spracovávané.