نتورک کار

به راحتی متخصص شبکه شوید

سبد خرید 0

دستور tcpdump برای sniff یا مانیتورینگ شبکه در linux

۱۲ دستور tcpdump برای sniff یا مانیتورینگ شبکه در linux

در این پست ما قصد داریم نحوه نصب نرم افزار tcpdump (ابزاری برای sniff پکت های شبکه) را آموزش بدیم و درباره دستورات مفید با مثال های عملی آنها بحث کنیم.
tcpdump یکی از sniff کننده های packet و همچنین ابزاری برای آنالیز کردن پکت ها میباشد که بسیار قدرتمند و شناخته شده هست و کامند لاین میباشد که برای capture کردن یا filter کردن packet های TCP/IP که دریافت میشوند یا از طریق یک شبکه موجود روی یک interface خاص منتقل میشوند.این دستور در اکثر سیستم عامل های لینوکس موجود است همچنین این امکان را به ما میدهد تا پکت های captured شده را در یک فایل ذخیره کنیم و برای آنالیز در آینده استفاده نماییم. این نرم افزار فایل شامل packet ها را با فرمت pcap ذخیره میکند که میتواند توسط دستور tcpdump و یا یک ابزار opensource دیگر به نام wireshark Network Protocol Analyzier که تحت gui بوده به نمایش درآید.
طریق نصب tcpdump در لینوکس :
تعداد زیادی از توزیع های لینوکسی به صورت default این ابزار روی آنها نصب هست در مواردی که شما آنرا روی سیستم خود ندارید میتوانید از طریق دستور yum انرا نصب کنید.
کد PHP:

# yum install tcpdump  

به محض اینکه tcpdump روی سیستم تان نصب شد شما قادر به اجرای دستورات زیر خواهید بود:

۱ – capture کردن packet ها از یک interface خاص:
دستور screen به shell اسکرول میدهد تا زمانی که متوقف نشود و در آن هنگام ما دستور tcpdump را اجرا میکنیم که از همه اینترفیس ها کپچر خواهد کرد. به هر حال با گزینه i- میتوانید capture فقط interface دلخواه خود داشته باشید.

کد PHP:

# tcpdump -i eth0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۱:۳۳:۳۱٫۹۷۶۳۵۸ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۳۵۰۰۴۴۰۳۵۷:۳۵۰۰۴۴۰۵۵۳, ack ۳۶۵۲۶۲۸۳۳۴, win ۱۸۷۶۰, length ۱۹۶
۱۱:۳۳:۳۱٫۹۷۶۶۰۳ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۱۹۶, win ۶۴۴۸۷, length ۰
۱۱:۳۳:۳۱٫۹۷۷۲۴۳ ARP, Request who-has tecmint.com tell ۱۷۲٫۱۶٫۲۵٫۱۲۶, length ۲۸
۱۱:۳۳:۳۱٫۹۷۷۳۵۹ ARP, Reply tecmint.com is-at ۰۰:۱۴:۵e:67:26:1d (oui Unknown), length ۴۶
۱۱:۳۳:۳۱٫۹۷۷۳۶۷ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫۵۴۸۰۷ > tecmint.com: ۴۲۴۰+ PTR? ۱۲۵٫۲۵٫۱۶٫۱۷۲٫in-addr.arpa. (۴۴)
۱۱:۳۳:۳۱٫۹۷۷۵۹۹ IP tecmint.com > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫۵۴۸۰۷: ۴۲۴۰ NXDomain ۰/۱/۰ (۱۲۱)
۱۱:۳۳:۳۱٫۹۷۷۷۴۲ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫۴۴۵۱۹ > tecmint.com: ۴۰۹۸۸+ PTR? ۱۲۶٫۲۵٫۱۶٫۱۷۲٫in-addr.arpa. (۴۴)
۱۱:۳۳:۳۲٫۰۲۸۷۴۷ IP ۱۷۲٫۱۶٫۲۰٫۳۳٫netbios-ns > ۱۷۲٫۱۶٫۳۱٫۲۵۵٫netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
۱۱:۳۳:۳۲٫۱۱۲۰۴۵ IP ۱۷۲٫۱۶٫۲۱٫۱۵۳٫netbios-ns > ۱۷۲٫۱۶٫۳۱٫۲۵۵٫netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
۱۱:۳۳:۳۲٫۱۱۵۶۰۶ IP ۱۷۲٫۱۶٫۲۱٫۱۴۴٫netbios-ns > ۱۷۲٫۱۶٫۳۱٫۲۵۵٫netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
۱۱:۳۳:۳۲٫۱۵۶۵۷۶ ARP, Request who-has ۱۷۲٫۱۶٫۱۶٫۳۷ tell old-oraclehp1.midcorp.mid-day.com, length ۴۶
۱۱:۳۳:۳۲٫۳۴۸۷۳۸ IP tecmint.com > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫۴۴۵۱۹: ۴۰۹۸۸ NXDomain ۰/۱/۰ (۱۲۱)  

۲ – capture کردن تنها N تعداد از packet ها
زمانی که شما دستور tcpdump را اجرا میکنید این دستور تمامی پکت ها برای اینترفیس مورد نظر را کپچر میکند تا زمانی که شما دکمه cancel را فشار دهید اما با استفاده از دستور c- شما میتوانید تنها تعداد خاصی از packet ها را capture کنید. مثال زیر تنها ۶ پکت را capture خواهد کرد:

کد PHP:

# tcpdump -c ۵ -i eth0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۱:۴۰:۲۰٫۲۸۱۳۵۵ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۳۵۰۰۴۴۷۲۸۵:۳۵۰۰۴۴۷۴۸۱, ack ۳۶۵۲۶۲۹۴۷۴, win ۱۸۷۶۰, length ۱۹۶
۱۱:۴۰:۲۰٫۲۸۱۵۸۶ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۱۹۶, win ۶۵۲۳۵, length ۰
۱۱:۴۰:۲۰٫۲۸۲۲۴۴ ARP, Request who-has tecmint.com tell ۱۷۲٫۱۶٫۲۵٫۱۲۶, length ۲۸
۱۱:۴۰:۲۰٫۲۸۲۳۶۰ ARP, Reply tecmint.com is-at ۰۰:۱۴:۵e:67:26:1d (oui Unknown), length ۴۶
۱۱:۴۰:۲۰٫۲۸۲۳۶۹ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫۵۳۲۱۶ > tecmint.com.domain: ۴۹۵۰۴+ PTR? ۱۲۵٫۲۵٫۱۶٫۱۷۲٫in-addr.arpa. (۴۴)
۱۱:۴۰:۲۰٫۳۳۲۴۹۴ IP tecmint.com.netbios-ssn > ۱۷۲٫۱۶٫۲۶٫۱۷٫nimaux: Flags [P.], seq ۳۰۵۸۴۲۴۸۶۱:۳۰۵۸۴۲۴۹۱۴, ack ۶۹۳۹۱۲۰۲۱, win ۶۴۱۹۰, length ۵۳ NBT Session Packet: Session Message
۶ packets captured
۲۳ packets received by filter
۰ packets dropped by kernel  

۳ – print پکت های capture شده در ASCII 
دستور tcpdump به همراه آپشن A– پکیچ ها را به فرمت ascii نمایش میدهد. مثال زیر یک فرمت characterencoding میباشد:

کد PHP:

# tcpdump -A -i eth0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۰۹:۳۱:۳۱٫۳۴۷۵۰۸ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۳۳۲۹۳۷۲۳۴۶:۳۳۲۹۳۷۲۵۴۲, ack ۴۱۹۳۴۱۶۷۸۹, win ۱۷۶۸۸, length ۱۹۶
M.r0…vUP.E.X…….~.%..>N..oFk………KQ..)Eq.d.,….r^l……m\.oyE….-….g~m..Xy.6..1…..c.O.@…o_..J….i.*…..2f.mQH…Q.c…6….9.v.gb……..;..4.).UiCY]..9..x.)..Z.XF….’|..E……M..u.5…….ul
۰۹:۳۱:۳۱٫۳۴۷۷۶۰ IP ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1 > ۱۹۲٫۱۶۸٫۰٫۲٫ssh: Flags [.], ack ۱۹۶, win ۶۴۳۵۱, length ۰
M….vU.r1~P.._……….
^C09:31:31.349560 IP ۱۹۲٫۱۶۸٫۰٫۲٫۴۶۳۹۳ > b.resolvers.Level3.net.domain: ۱۱۱۴۸+ PTR? ۱٫۰٫۱۶۸٫۱۹۲٫in-addr.arpa. (۴۲)
E..F..@.@…………9.5.2.f+…………1.0.168.192.in-addr.arpa…..

۳ packets captured
۱۱ packets received by filter
۰ packets dropped by kernel  

۴ – نمایش interface ها موچود
برای لیست interface های موجود روی یک سیستم دستور زیر را به همراه آپشن D– اجرا میکنیم:

کد PHP:

# tcpdump -D

 ۱٫eth0
۲٫eth1
۳٫usbmon1 (USB bus number ۱)
۴٫usbmon2 (USB bus number ۲)
۵٫usbmon3 (USB bus number ۳)
۶٫usbmon4 (USB bus number ۴)
۷٫usbmon5 (USB bus number ۵)
۸٫any (Pseudo-device that captures on all interfaces)
۹٫lo  

۵ – نمایش پکت های capture شده به فرمت HEX و ASCII
دستور زیر با آپشن XX– اطلاعات هر پکت را capture میکند که شامل link level heder به فرمت HEX و ASCII میباشد:

کد PHP:

# tcpdump -XX -i eth0

۱۱:۵۱:۱۸٫۹۷۴۳۶۰ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۳۵۰۹۲۳۵۵۳۷:۳۵۰۹۲۳۵۷۳۳, ack ۳۶۵۲۶۳۸۱۹۰, win ۱۸۷۶۰, length ۱۹۶
        ۰x0000:  b8ac ۶f2e ۵۷b3 ۰۰۰۱ ۶c99 ۱۴۶۸ ۰۸۰۰ ۴۵۱۰  ..o.W…l..h..E.
        ۰x0010:  ۰۰ec ۸۷۸۳ ۴۰۰۰ ۴۰۰۶ ۲۷۵d ac10 ۱۹۷e ac10  ….@.@.’]…~..
        ۰x0020:  ۱۹۷d ۰۰۱۶ ۱۱۲۹ d12a af51 d9b6 d5ee ۵۰۱۸  .}…).*.Q….P.
        ۰x0030:  ۴۹۴۸ ۸bfa ۰۰۰۰ ۰e12 ea4d ۲۲d1 ۶۷c0 f123  IH…….M”.g..#
        ۰x0040:  ۹۰۱۳ ۸f68 aa70 ۲۹f3 ۲efc c512 ۵۶۶۰ ۴fe8  …h.p)…..V`O.
        ۰x0050:  ۵۹۰a d631 f939 dd06 e36a ۶۹ed cac2 ۹۵b6  Y..1.9…ji…..
        ۰x0060:  f8ba b42a ۳۴۴b ۸e56 a5c4 b3a2 ed82 c3a1  …*۴K.V……..
        ۰x0070:  ۸۰c8 ۷۹۸۰ ۱۱ac ۹bd7 ۵b01 ۱۸d5 ۸۱۸۰ ۴۵۳۶  ..y…..[…..E6
        ۰x0080:  ۳۰fd ۴f6d ۴۱۹۰ f66f ۲e24 e877 ed23 ۸eb0  ۰٫OmA..o.$.w.#..
        ۰x0090:  ۵a1d f3ec ۴be4 e0fb ۸۵۵۳ ۷c85 ۱۷d9 ۸۶۶f  Z…K….S|….o
        ۰x00a0:  c279 ۰d9c ۸f9d ۴۴۵b ۷b01 ۸۱eb ۱b63 ۷f12  .y….D[{….c..
        ۰x00b0:  ۷۱b3 ۱۳۵۷ ۵۲c7 cf00 ۹۵c6 c9f6 ۶۳b1 ca51  q..WR…….c..Q
        ۰x00c0:  ۰ac6 ۴۵۶e ۰۶۲۰ ۳۸e6 ۱۰cb ۶۱۳۹ fb2a a756  ..En..8…a9.*.V
        ۰x00d0:  ۳۷d6 c5f3 f5f3 d8e8 ۳۳۱۶ d14f d7ab fd93  ۷…….۳٫٫O….
        ۰x00e0:  ۱۱۳۷ ۶۱c1 ۶a5c b4d1 ddda ۳۸۰a f782 d983  .۷a.j\….8…..
        ۰x00f0:  ۶۲ff a5a9 bb39 ۴f80 ۶۶۸a                 b….9O.f.
۱۱:۵۱:۱۸٫۹۷۴۷۵۹ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫۶۰۹۵۲ > mddc-01.midcorp.mid-day.com.domain: ۱۴۶۲۰+ PTR? ۱۲۵٫۲۵٫۱۶٫۱۷۲٫in-addr.arpa. (۴۴)
        ۰x0000:  ۰۰۱۴ ۵e67 ۲۶۱d ۰۰۰۱ ۶c99 ۱۴۶۸ ۰۸۰۰ ۴۵۰۰  ..^g&…l..h..E.
        ۰x0010:  ۰۰۴۸ ۵a83 ۴۰۰۰ ۴۰۱۱ ۵e25 ac10 ۱۹۷e ac10  .HZ.@.@.^%…~..
        ۰x0020:  ۱۰۵e ee18 ۰۰۳۵ ۰۰۳۴ ۸۲۴۲ ۳۹۱c ۰۱۰۰ ۰۰۰۱  .^…۵٫۴٫B9…..
        ۰x0030:  ۰۰۰۰ ۰۰۰۰ ۰۰۰۰ ۰۳۳۱ ۳۲۳۵ ۰۲۳۲ ۳۵۰۲ ۳۱۳۶  …….۱۲۵٫۲۵٫۱۶
        ۰x0040:  ۰۳۳۱ ۳۷۳۲ ۰۷۶۹ ۶e2d ۶۱۶۴ ۶۴۷۲ ۰۴۶۱ ۷۲۷۰  .۱۷۲٫in-addr.arp
        ۰x0050:  ۶۱۰۰ ۰۰۰c ۰۰۰۱                           a…..  

۶ – capture و ذخیره packet ها در یک فایل
همانطور که گفتیم tcp گزینه ای برای capture و ذخیره پکت ها درون فایلی با فرمت pcap. دارد. به منظور این کار کامند زیر را با آپشن –W اجرا کنید:

کد PHP:

# tcpdump -w ۰۰۰۱٫pcap -i eth0

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۴ packets captured
۴ packets received by filter
۰ packets dropped by kernel  

۷ – خواندن فایل شامل packet ها capture شده
برای خواندن و آنالیز packetهای capture شده در فایل p0001.pcap دستور زیر را به همراه آپشن -r استفاده کنید:

کد PHP:

# tcpdump -r ۰۰۰۱٫pcap

reading from file ۰۰۰۱٫pcap, link-type EN10MB (Ethernet)
۰۹:۵۹:۳۴٫۸۳۹۱۱۷ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۳۳۵۳۰۴۱۶۱۴:۳۳۵۳۰۴۱۷۴۶, ack ۴۱۹۳۵۶۳۲۷۳, win ۱۸۷۶۰, length ۱۳۲
۰۹:۵۹:۳۴٫۹۶۳۰۲۲ IP ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1 > ۱۹۲٫۱۶۸٫۰٫۲٫ssh: Flags [.], ack ۱۳۲, win ۶۵۳۵۱, length ۰
۰۹:۵۹:۳۶٫۹۳۵۳۰۹ IP ۱۹۲٫۱۶۸٫۰٫۱٫netbios-dgm > ۱۹۲٫۱۶۸٫۰٫۲۵۵٫netbios-dgm: NBT UDP PACKET(138)
۰۹:۵۹:۳۷٫۵۲۸۷۳۱ IP ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1 > ۱۹۲٫۱۶۸٫۰٫۲٫ssh: Flags [P.], seq ۱:۵۳, ack ۱۳۲, win ۶۵۳۵۱, length ۵  

۸ – capture کردن pacete های ip adderss
برای capture پکت های یک interface خاص دستور زیر را به همراه آپشن n– اجرا کنید:

کد PHP:

# tcpdump -n -i eth0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۲:۰۷:۰۳٫۹۵۲۳۵۸ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۳۵۰۹۵۱۲۸۷۳:۳۵۰۹۵۱۳۰۶۹, ack ۳۶۵۲۶۳۹۰۳۴, win ۱۸۷۶۰, length ۱۹۶
۱۲:۰۷:۰۳٫۹۵۲۶۰۲ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۱۹۶, win ۶۴۱۷۱, length ۰
۱۲:۰۷:۰۳٫۹۵۳۳۱۱ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۱۹۶:۵۰۴, ack ۱, win ۱۸۷۶۰, length ۳۰۸
۱۲:۰۷:۰۳٫۹۵۴۲۸۸ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۵۰۴:۶۶۸, ack ۱, win ۱۸۷۶۰, length ۱۶۴
۱۲:۰۷:۰۳٫۹۵۴۵۰۲ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۶۶۸, win ۶۵۵۳۵, length ۰
۱۲:۰۷:۰۳٫۹۵۵۲۹۸ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۶۶۸:۹۴۴, ack ۱, win ۱۸۷۶۰, length ۲۷۶
۱۲:۰۷:۰۳٫۹۵۵۴۲۵ IP ۱۷۲٫۱۶٫۲۳٫۱۶٫netbios-ns > ۱۷۲٫۱۶٫۳۱٫۲۵۵٫netbios-ns: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
۱۲:۰۷:۰۳٫۹۵۶۲۹۹ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۹۴۴:۱۲۳۶, ack ۱, win ۱۸۷۶۰, length ۲۹۲
۱۲:۰۷:۰۳٫۹۵۶۵۳۵ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۱۲۳۶, win ۶۴۹۶۷, length ۰  

۹ – capture تنها packet های TCP
برای capture کردن packet ها برا اساس پورت TCP دستور زیر را با آپشن tcp اجرا نمایید:

کد PHP:

# tcpdump -i eth0 tcp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۲:۱۰:۳۶٫۲۱۶۳۵۸ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۳۵۰۹۶۴۶۰۲۹:۳۵۰۹۶۴۶۲۲۵, ack ۳۶۵۲۶۴۰۱۴۲, win ۱۸۷۶۰, length ۱۹۶
۱۲:۱۰:۳۶٫۲۱۶۵۹۲ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۱۹۶, win ۶۴۶۸۷, length ۰
۱۲:۱۰:۳۶٫۲۱۹۰۶۹ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۱۹۶:۵۰۴, ack ۱, win ۱۸۷۶۰, length ۳۰۸
۱۲:۱۰:۳۶٫۲۲۰۰۳۹ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۵۰۴:۶۶۸, ack ۱, win ۱۸۷۶۰, length ۱۶۴
۱۲:۱۰:۳۶٫۲۲۰۲۶۰ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۶۶۸, win ۶۴۲۱۵, length ۰
۱۲:۱۰:۳۶٫۲۲۲۰۴۵ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۶۶۸:۹۴۴, ack ۱, win ۱۸۷۶۰, length ۲۷۶
۱۲:۱۰:۳۶٫۲۲۳۰۳۶ IP ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh > ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler: Flags [P.], seq ۹۴۴:۱۱۰۸, ack ۱, win ۱۸۷۶۰, length ۱۶۴
۱۲:۱۰:۳۶٫۲۲۳۲۵۲ IP ۱۷۲٫۱۶٫۲۵٫۱۲۵٫apwi-rxspooler > ۱۷۲٫۱۶٫۲۵٫۱۲۶٫ssh: Flags [.], ack ۱۱۰۸, win ۶۵۵۳۵, length ۰
^C12:10:36.223461 IP mid-pay.midcorp.mid-day.com.netbios-ssn > ۱۷۲٫۱۶٫۲۲٫۱۸۳٫recipe: Flags [.], seq ۲۸۳۲۵۶۵۱۲:۲۸۳۲۵۶۵۱۳, ack ۵۵۰۴۶۵۲۲۱, win ۶۵۵۳۱, length ۱[|SMB]  

۱۰ – capture پکت ها از یک پورت خاص
فرض کنید شما بخواهید پکت هایی از پورت ۲۲ را capture کنید که برای این منظور باید دستور زیر را با مشخص کردن پورت ۲۲ اجرا نمایید:

کد PHP:

# tcpdump -i eth0 port ۲۲

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۰:۳۷:۴۹٫۰۵۶۹۲۷ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۳۳۶۴۲۰۴۶۹۴:۳۳۶۴۲۰۴۸۹۰, ack ۴۱۹۳۶۵۵۴۴۵, win ۲۰۹۰۴, length ۱۹۶
۱۰:۳۷:۴۹٫۱۹۶۴۳۶ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۴۲۹۴۹۶۷۲۴۴:۱۹۶, ack ۱, win ۲۰۹۰۴, length ۲۴۸
۱۰:۳۷:۴۹٫۱۹۶۶۱۵ IP ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1 > ۱۹۲٫۱۶۸٫۰٫۲٫ssh: Flags [.], ack ۱۹۶, win ۶۴۴۹۱, length ۰
۱۰:۳۷:۴۹٫۳۷۹۲۹۸ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۱۹۶:۶۱۶, ack ۱, win ۲۰۹۰۴, length ۴۲۰
۱۰:۳۷:۴۹٫۳۸۱۰۸۰ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۶۱۶:۷۸۰, ack ۱, win ۲۰۹۰۴, length ۱۶۴
۱۰:۳۷:۴۹٫۳۸۱۳۲۲ IP ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1 > ۱۹۲٫۱۶۸٫۰٫۲٫ssh: Flags [.], ack ۷۸۰, win ۶۵۵۳۵, length ۰  

۱۱ – capture پکت های از source ip
برای capture پکت ها از source ip مثلا کپچر از ip 192.168.0.2 دستور زیر را اجرا نمایید:

کد PHP:

# tcpdump -i eth0 src ۱۹۲٫۱۶۸٫۰٫۲

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۰:۴۹:۱۵٫۷۴۶۴۷۴ IP ۱۹۲٫۱۶۸٫۰٫۲٫ssh > ۱۹۲٫۱۶۸٫۰٫۱٫nokia-ann-ch1: Flags [P.], seq ۳۳۶۴۵۷۸۸۴۲:۳۳۶۴۵۷۹۰۳۸, ack ۴۱۹۳۶۶۸۴۴۵, win ۲۰۹۰۴, length ۱۹۶
۱۰:۴۹:۱۵٫۷۴۸۵۵۴ IP ۱۹۲٫۱۶۸٫۰٫۲٫۵۶۲۰۰ > b.resolvers.Level3.net.domain: ۱۱۲۸۹+ PTR? ۱٫۰٫۱۶۸٫۱۹۲٫in-addr.arpa. (۴۲)
۱۰:۴۹:۱۵٫۹۱۲۱۶۵ IP ۱۹۲٫۱۶۸٫۰٫۲٫۵۶۲۳۴ > b.resolvers.Level3.net.domain: ۵۳۱۰۶+ PTR? ۲٫۰٫۱۶۸٫۱۹۲٫in-addr.arpa. (۴۲)
۱۰:۴۹:۱۶٫۰۷۴۷۲۰ IP ۱۹۲٫۱۶۸٫۰٫۲٫۳۳۹۶۱ > b.resolvers.Level3.net.domain: ۳۸۴۴۷+ PTR? ۲٫۲٫۲٫۴٫in-addr.arpa. (۳۸)  

۱۲ – capture پکت ها از destination ip
برای capture پکت ها از ip مقصد مثلا ۵۰٫۱۱۶٫۶۶٫۱۳۹ دستور زیر را اجرا کنید:

کد PHP:

# tcpdump -i eth0 dst ۵۰٫۱۱۶٫۶۶٫۱۳۹

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size ۶۵۵۳۵ bytes
۱۰:۵۵:۰۱٫۷۹۸۵۹۱ IP ۱۹۲٫۱۶۸٫۰٫۲٫۵۹۸۹۶ > ۵۰٫۱۱۶٫۶۶٫۱۳۹٫http: Flags [.], ack ۲۴۸۰۴۰۱۴۵۱, win ۳۱۸, options [nop,nop,TS val ۷۹۵۵۷۱۰ ecr ۸۰۴۷۵۹۴۰۲], length ۰
۱۰:۵۵:۰۵٫۵۲۷۴۷۶ IP ۱۹۲٫۱۶۸٫۰٫۲٫۵۹۸۹۴ > ۵۰٫۱۱۶٫۶۶٫۱۳۹٫http: Flags [F.], seq ۲۵۲۱۵۵۶۰۲۹, ack ۲۱۶۴۱۶۸۶۰۶, win ۲۴۵, options [nop,nop,TS val ۷۹۵۹۴۳۹ ecr ۸۰۴۷۵۹۲۸۴], length ۰
۱۰:۵۵:۰۵٫۶۲۶۰۲۷ IP ۱۹۲٫۱۶۸٫۰٫۲٫۵۹۸۹۴ > ۵۰٫۱۱۶٫۶۶٫۱۳۹٫http: Flags [.], ack ۲, win ۲۴۵, options [nop,nop,TS val ۷۹۵۹۵۳۷ ecr ۸۰۴۷۵۹۷۸۷], length ۰  

این مقاله ممکن است به شما کمک کند تا از کامند tcpdump به صورت عمقی استفاده کنید و یا برای capture و آنالیز packet ها در آینده بهره ببرید.

 

با نتورک کار همراه باشید

جدیدترین مطالب آموزشی را در کانال تلگرام نتورک کار دنبال کنید

 

 

مهدی سلیمانی

مطالب مرتبط

دیدگاه ها

دیدگاه کاربران انتشار یافته : ۰ - در انتظار بررسی :
    • دیدگاه ارسال شده توسط شما ، پس از تایید توسط مدیران سایت منتشر خواهد شد.
    • دیدگاهی که به غیر از زبان فارسی یا غیر مرتبط با مطلب باشد منتشر نخواهد شد.