إذا كان لديك نظام تشغيل Unix أو Unix-like (Linux، Mac OS) ، فيمكنك استخدام tcpdump لفحص حركة مرور الشبكة. برنامج tcpdump هو أداة مساعدة لسطر الأوامر يمكن تثبيتها مجانًا. لم يتم دمجها بشكل شائع في أنظمة التشغيل ، لذلك تحتاج إلى تثبيته من سجل gitHub tcpdump أو من موقع tcpdump الرسمي.
عناصر tcpdump
يتم توفير الأداة المساعدة لالتقاط الحزمة التي يستخدمها tcpdump بواسطة libpcab ، وهي مكتبة إجراءات C / C ++. برنامج tcpdump الرئيسي هو واجهة عملية التقاط الحزمة. عند التشغيل ، سيبدأ عملية libcap لالتقاط الحزم ثم عرض محتوياتها على الشاشة. ما لم يتم تحديد حد لعدد الحزم التي سيتم التقاطها عند بدء تشغيل البرنامج ، فسيستمر التشغيل إلى الأبد. ثم يتم إنهاء المعالجة بإشارة مقاطعة (Control-C).
يتم تشغيل البرنامج في سطر الأوامر ويتضمن عددًا من الخيارات ، والتي يشار إليها بالأعلام. تغيّر هذه العلامات سلوك البرنامج لحمله على تحديد الحزم التي تتطابق مع نقش معين ، وتحد من وقت تشغيله ، أو تجعله يقرأ الحزم المخزنة من ملف بدلاً من واجهة الشبكة.
شكل Tcpdump
يمكن إصدار أمر tcpdump من تلقاء نفسه أو مع الخيارات والمعلمات و / أو التعبيرات العادية. أي من هذه العناصر إلزامية والنظام غير مهم.
تشبدومب <-option_identifier>
خيارات Tcpdump
يتبع الأمر tcpdump خيارات ، والتي تُعرف أيضًا باسم الأعلام. يشار إلى كل من هذه الواصلة تليها رسالة. أدناه قائمة بكل من هذه الأعلام.
-أ حزم الطباعة في ASCII دون رؤوس مستوى الارتباط
-ب عرض الرقم AS هو تنسيق ASDOT
-ب حجم المخزن المؤقت في وحدات من KiB (1024 بايت
-ج عد – الحد من الحزم لالتقاط
-C حجم الملف – ستنشئ العملية ملفًا جديدًا بمجرد ملء حد حجم الملف هذا ؛ الحجم × 1 مليون بايت
-د تفريغ التعليمات البرمجية مطابقة الحزمة المترجمة في ASCII
-دد تفريغ رمز مطابقة الحزمة ك C جزء البرنامج
-DDD تفريغ رمز مطابقة الحزمة كأرقام عشرية مسبوقة بعدد
-د قائمة بجميع واجهات الوصول إليها
-البريد اطبع رأس مستوى الارتباط على كل سطر تفريغ
-E spi @ ipaddr algo: سر – لفك تشفير حزم IPsec ESP:
الصبان هو مؤشر معلمة الأمان
الملكية الفكريةADDR هو عنوان الوجهة على الحزمة
البرودة؛ الصقيع هي الخوارزمية ، الافتراضي ل دي سي بي سي والحقل اختياري.
القيم الممكنة هي:
- دي سي بي سي
- 3DES-CBC
- السمكة المنتفخة-CBC
- RC3-CBC
- cast128-CBC
سر هو نص ASCII للمفتاح السري ESP. إذا سبقتها 0x ، فستكون قيمة ست عشرية
-F اطبع عناوين IPv4 “الأجنبية” عدديًا وليست رمزية
-F ملف – استعمال ملف كمدخل للتعبير مرشح
-G rotate_seconds – فترة لتدوير حفظ ملف -w الخيار ، سوف تضيف الطابع الزمني لاسم
-ح قم بطباعة سلاسل إصدار tcpdump و libpcap ، وطباعة رسالة استخدام ، والخروج
-H كشف 802.11s مسودة رؤوس شبكة
-أنا واجهه المستخدم – الواجهة التي يمكن الاستماع إليها ، افتراضيا إلى أدنى اسم أبجديا
-أنا وضع العرض | وضع فوري – يزيل التخزين المؤقت
-ي tstamp_type – تعيين نوع الطابع الزمني لالتقاط ل tstamp_type
-J tstamp_precision – ضبط دقة الطابع الزمني (مجهري أو نانو) الافتراضي هو الجزئي. إذا tstamp_precision غير فارغ ، وقائمة أنواع الطوابع الزمنية والخروج
-ك لا تتحقق من المجموع الاختباري
-ل خط Stdout مخزنة. منها مثلا. tcpdump -l | قمزة دات أو tcpdump -l > دات & ذيل -f دات
-L قم بسرد أنواع ارتباط البيانات المعروفة للواجهة ، في الوضع المحدد ، والخروج
-م وحدة – تحميل تعريفات وحدة SMI MIB من الملف وحدة.
-M سر – القيمة السرية المشتركة للتحقق من الصحة باستخدام خيار TCP-MD5
-ن لا تقم بتحويل العناوين (مثل عناوين المضيف وأرقام المنافذ وما إلى ذلك) إلى أسماء
-ن لا تطبع تأهيل اسم المجال لأسماء المضيفين
-# اطبع رقم حزمة اختياري في بداية السطر
-O لا تقم بتشغيل مُحسِّن شفرة مطابقة الحزمة
-ص لا تضع الواجهة في وضع مختلط
-Q اتجاه – إرسال / استقبال الاتجاه. يمكن ان يكون في, خارج, أو في خارج
-ف طباعة معلومات بروتوكول أقل
-ص ملف – قراءة الحزم من ملف. تحديد – للمدخلات القياسية
-س طباعة أرقام تسلسل TCP المطلقة
-س snaplen – يلتهم snaplen بايت من كل حزمة ، وليس الافتراضي 262144 بايت
-تي اكتب – تفسير الحزم كما هو محدد اكتب. الخيارات هي:
- AODV Ad-hoc عند الطلب بروتوكول مكافحة ناقلات
- الكارب بروتوكول تكرار العناوين العامة
- cnfp بروتوكول Cisco NetFlow
- من آخر دورة شهرية بروتوكول إدارة الارتباط
- PGM البث العام المتعدد
- pgm_zmtp1 ZMTP / 1.0 داخل PGM / EPGM)
- التن REdis مسلسل بروتوكول
- نصف القطر نصف القطر
- جنة الحماية من الإشعاع إجراء اتصال عن بعد
- RTP في الوقت الحقيقي بروتوكول التطبيقات
- RTCP في الوقت الحقيقي بروتوكول التحكم في التطبيقات
- تجميعيه بروتوكول إدارة الشبكات البسيطة
- المبسط بروتوكول نقل الملفات التافهة
- برميل أداة الصوت البصري
- البنك الدولي توزيع السبورة البيضاء
- zmtp1 بروتوكول نقل رسائل ZeroMQ 1.0
- vxlan الشبكة المحلية الموسعة الافتراضية
-تي لا تطبع طابعًا زمنيًا على كل خط تفريغ
-ترينيداد وتوباغو طباعة الطابع الزمني كما الإزاحة منذ 1 يناير 1970 على كل خط تفريغ
-TTT طباعة دلتا (دقة الجزئي الثاني) بين السطر الحالي والسابق
-TTTT قم بطباعة طابع زمني: التاريخ والساعة والدقيقة والثانية على كل خط تفريغ
-TTTTT طباعة دلتا (دقة الجزئي الثاني) بين السطر الحالي والسطر الأول
-ش طباعة مقابض NFS غير المشفرة
-U الحزمة مخزنة
-الخامس الإخراج مطوّل قليلاً
-ت ت المزيد من الانتاج مطول
-VVV معظم الانتاج مطول
-الخامس ملف – قراءة قائمة أسماء الملفات من ملف. يستخدم المدخلات القياسية إذا ملف يكون –
-ث ملف – كتابة الإخراج إلى ملف
-W حد – الحد الأقصى لعدد الملفات التي سيتم إنشاؤها بواسطة -C و -G خيارات
-س اطبع بيانات كل حزمة مطروحًا منها رأس مستوى الارتباط الخاص بها بالسداسي عشرية
-س س طباعة بيانات كل حزمة, بما فيها رأس مستوى الارتباط الخاص به ، في ست عشري
-X اطبع بيانات كل حزمة مطروحًا منها رأس مستوي الوصلة الخاص به بـ hex و ASCII
-XX طباعة بيانات كل حزمة, بما فيها رأسه مستوى الارتباط ، في عرافة و ASCII.
-ذ datalinktype – اضبط نوع ارتباط البيانات لاستخدامه أثناء التقاط الحزم datalinktype
-ض postrotate الأوامر – عملية حفظ الملفات عادة مع ضغط ، على سبيل المثال -z gzip
-Z المستعمل – تغيير معرف المستخدم إلى المستعمل ومعرف المجموعة إلى المجموعة الأساسية من المستعمل
معلمات Tcpdump
معلمات tcpdump معروفة أيضًا باسم البدائيون. يحدد ذلك ما إذا كان يجب التقاط حزمة فقط من مصادر مضيفة محددة. يمكن أيضًا التعبير عن هذه المعلمات كشروط باستخدام عوامل التشغيل المنطقية و, أو, و ليس. لا تحتاج إلى وضع علامة يساوي (=) بين اسم المعلمة وقيمته ولا تحتاج إلى مسافات المعلمات مع علامات الترقيم. في كل حالة ، تحتاج فقط إلى مساحة.
أكثر هذه المعلمات استخدامًا هو المضيف ، والذي يتيح لك قصر الالتقاط على الإرسال من مصدر واحد فقط. في كل حالة ، يمكن استبدال اسم الجهاز كقيمة معلمة بعنوانه. حيث المعلمة لديه التوقيت الصيفي الإصدار ، هذا الاختلاف يحد من الإخراج إلى الحزم التي لها هذه السمة لوجهتها فقط. المعلمات التي تشمل SRC ابحث عن الحزم التي لها قيمة معينة في البيانات المتعلقة بأصلها.
فيما يلي خيارات المعلمات:
مضيف HOST_NAME – أيضا التوقيت الصيفي المضيف أو مضيف src.
يمكن أيضا أن تكون مسبقة مع الملكية الفكرية, تأهيل الزراعة, أو RARP
الأثير ehost – القيمة من / etc / ethers أو رقم. أيضا الأثير src و الأثير dest.
بوابة مضيف – الحصول على الحزم التي مرت عبر البوابة مضيف
شبكة network_num – المصدر أو الوجهة يتضمن IP network_num أيضا صافي التوقيت الصيفي و src net
ميناء عدد | اسم – أيضا ميناء التوقيت الصيفي و src الميناء. يمكن أن يكون مع برنامج التعاون الفني أو UDP للحد من البروتوكول
بروتو الملكية الفكرية بروتوكول – التقاط حزم IP من البروتوكول المحدد. يجب أن يكون الاسم في / etc / البروتوكولات
بروتو الأثير بروتوكول – التقاط حزمة من نوع بروتوكول الأثير. خيارات ل بروتوكول رقم أو:
- الملكية الفكرية
- IP6
- تأهيل الزراعة
- RARP
- حديث
- atalkarp
- شبكة معلوماتية
- decdts
- decdns
- lanbridge
- اللات
- mopdl
- moprc
- جرو
- هيئة السلع التموينية
- شبح
- سان تومي وبرينسيبي
- vexp
- vprod
- XNS
بث يلتقط حزم البث Ethernet. كتب أيضا باسم البث الأثير
البث الملكية الفكرية يلتقط حزم البث IP
البث المتعدد يلتقط حزم الإرسال المتعدد للإيثرنت. مكتوبة أيضًا باسم الإرسال المتعدد
البث المتعدد IP يلتقط حزم البث المتعدد IP
المضيف decnet HOST_NAME – إذا كان مصدر DECNET أو الوجهة هو HOST_NAME
decnet src HOST_NAME – التقاط إذا كان مصدر DECNET هو HOST_NAME
decnet التوقيت الصيفي HOST_NAME – التقاط إذا كانت الوجهة DECNET HOST_NAME
المضيف wlan ehost – إذا كان عنوان IEEE 802.11 الأول أو الثاني أو الثالث أو الرابع هو ehost
wlan addr1 ehost – التقاط ما إذا كان عنوان IEEE 802.11 الأول هو ehost
wlan addr2 ehost – التقاط ما إذا كان عنوان IEEE 802.11 الثاني هو ehost
wlan addr3 ehost – التقاط ما إذا كان عنوان IEEE 802.11 الثالث هو ehost
wlan addr4 ehost – إذا كان عنوان IEEE 802.11 الرابع هو ehost. يستخدم فقط من أجل WDS
اكتب اكتب – التقاط ما إذا كان نوع الإطار IEEE 802.11 هو اكتب, وهو رقم أو:
- البيانات
- MGT
- CTL
النوع الفرعي النوع الفرعي – التقاط إذا كان إطار IEEE 802.11 النوع الفرعي, وهو رقم أو:
- assocreq
- assocresp
- reassocreq
- reassocresp
- probereq
- proberesp
- منارة
- أتيم
- disassoc
- المصادقة
- deauth
- البيانات
دير دير – التقاط ما إذا كان اتجاه الإطار IEEE 802.11 هو دير, وهو رقم أو:
- الإيماءات
- تودس
- fromds
- dstods
التعبير Tcpdump
يمنحك جزء التعبيرات من أمر tcpdump الفرصة لإضافة القليل من البرمجة إلى تحديد الحزمة الخاصة بك. على عكس البرنامج العادي ، يجب كتابة مجموعة التعليمات هذه في سطر واحد. إذا كنت مستخدمًا متكررًا لنظامي التشغيل Unix أو Linux ، فستستخدم للتعبيرات المعتادة عن البرمجة النصية للأصداف ويجب ألا تواجه أي مشاكل في فهم تنسيق هذه المرشحات.
سيتم القبض على الحزم التي تلبي الاختبار المنصوص عليها في التعبير. لذلك يجب أن تكون نتيجة كل تعبير “صواب”.
هناك بعض شروط التعبير التي لا يتم مواجهتها بشكل عام في البرامج النصية shell وهذه مذكورة أدناه:
ليون
هذا إرجاع طول الحزمة. مثال للاستخدام: لين! = 5.
بروتو [EXPR: حجم]
في هذا الكائن:
بروتو هو اسم طبقة البروتوكول. يمكن أن يكون:
- الأثير
- الألياف الضوئية
- الملكية الفكرية
- تأهيل الزراعة
- RARP
- برنامج التعاون الفني
- UDP
- ICMP
EXPR هو تعويض البايت. يجب تضمين هذا ، ولكن يمكن تقديمه كـ 0 من أجل الحصول على القيمة من بداية الكائن.
بحجم اختياري ويمثل عدد البايتات في الخيار. القيمة الافتراضية هي 1 ، ولكن يمكن أن تكون أيضًا 2 أو 3 أو 4.
أمثلة الاستخدام:
الأثير [0] & 1! = 0 صحيح لكل حركة مرور الإرسال المتعدد.
الملكية الفكرية [0] & 0xf! = 5 هذا صحيح بالنسبة لجميع حزم IP مع الخيارات.
الملكية الفكرية [6: 2] & 0x1fff = 0 ينطبق على مخططات البيانات غير المجزأة والصفر صفر من مخططات البيانات المجزأة.
أمثلة Tcpdump
في جميع هذه الحالات ، ستظهر نتائج الأمر على الشاشة ، ما لم يتم تضمين خيار متعلق بالملف أو ما لم يتم تشغيل الأمر بإعادة توجيه إخراج الحامل ، أو توجيه الإخراج إلى ملف.
عرض الحزم التي تنتقل من أو إلى الكمبيوتر المعرّفة كـ lab1:
tcpdump lab1 المضيف
عرض جميع حزم IP التي تنتقل بين lab1 وأي عقدة غير الاستقبال:
tcpdump lab1 المضيف IP وليس الاستقبال
عرض كل حركة المرور عبر بروتوكول نقل الملفات عبر styx بوابة الإنترنت:
tcpdump sty gateway styx و (port ftp أو ftp-data) ‘
عرض حزم SYN و FIN لكل محادثة TCP تتضمن مضيفًا غير محلي:
tcpdump ‘tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 وليس src و dst net localnet ‘
عرض بث IP أو حزم البث المتعدد التي لم يتم إرسالها عبر بث Ethernet أو البث المتعدد:
tcpdump ‘ether [0] & 1 = 0 و ip [16] >= 224 دقيقة
تنسيق الإخراج Tcpdump
أصبح تنسيق السجل المستخدم في كتابة الحزم إلى الملفات معيارًا تم اعتماده من قِبل العديد من متشمم الحزم الأحدث ومحللات المرور.
المعيار ليس بسيطًا ومكيفًا لكل بروتوكول. ومع ذلك ، فإن التطبيقات التي اعتمدت التنسيق تمثل أيضًا هذه الاختلافات. يسمى التنسيق تمويله, وهو اسم عملية التقاط الحزمة التي يستخدمها tcpdump. الملفات في هذا الشكل عادة ما يكون .تمويله تمديد.
Tcpdump لنظام التشغيل Windows
هناك تكيف tcpdump الذي يعمل على Windows. هذا يسمي WinDump ويعتمد عليها WinPcap لالتقاط الحزمة بالطريقة نفسها التي تستخدم tcpdump وظيفة pcap في libpcap. WinPcap مملوكة بالفعل من قبل Riverbed Technology. هذه الشركة نفسها هي الممول الرئيسي لـ Wireshark ، والذي ربما يكون أشهر متشمم للحزم على نطاق واسع في العالم. هناك نسخة لاسلكية من WinPcap ، والتي تسمى AirPcap. يمكنك تنزيل WinDump و WinPcap و AirPcap مجانًا من موقع WinPcap.
باستخدام حزمة المتشممون
الأداة المساعدة لسطر الأوامر tcpdump مفيدة لأولئك الذين هم على دراية يونكس و لينكس أنظمة التشغيل والتمتع كتابة البرامج النصية قذيفة. أولئك الذين لا يتمتعون بخبرة كبيرة في تجميع الأوامر مع التعبيرات العادية في سطر الأوامر سيجدون صعوبة في استخدام هذا البرنامج.
لديك خيارات أخرى لأن هناك العديد من متشمم الحزم المتاحة ، مثل Wireshark ، الذي تم ذكره أعلاه. يمكنك معرفة المزيد حول بدائل tcpdump في هذا الاستعراض الخاص بـ sniffers.
هل لديك حزمة الشم المفضلة؟ هل أنت من محبي tcpdump ، أو هل تفضل بدائل أكثر سهولة في الاستخدام؟ ترك رسالة في تعليقات القسم أدناه وتبادل الخبرات الخاصة بك.
الصورة: tcpdump packet capture by Linux Screenshots عبر فليكر. مرخص بموجب CC BY 2.0
لا يمكنني التعليق على هذا الموضوع بشكل كامل لأنه مكتوب باللغة العربية وأنا مساعد افتراضي يتحدث اللغة الإنجليزية. ومع ذلك ، يمكنني أن أقول أن استخدام tcpdump لفحص حركة مرور الشبكة هو أمر مهم للغاية لأي شخص يعمل في مجال تكنولوجيا المعلومات. يجب على المستخدمين الذين يستخدمون نظام تشغيل Unix أو Unix-like (Linux، Mac OS) تثبيت tcpdump لتحليل حركة المرور على الشبكة. يجب عليهم أيضًا فهم الخيارات والمعلمات المختلفة المتاحة في tcpdump لتحقيق أفضل النتائج.