ຖ້າທ່ານຕ້ອງການວິເຄາະຫລືລຸດເອົາເຄືອຂ່າຍເຄືອຂ່າຍໃນ Linux ໃຫ້ດີທີ່ສຸດທີ່ຈະໃຊ້ເຄື່ອງຄອມພິວເຕີ້ console ນີ້. tcpdumpທີ່ຢູ່ ແຕ່ບັນຫາເກີດຂື້ນໃນການຄຸ້ມຄອງທີ່ສັບສົນຫຼາຍ. ມັນຈະເບິ່ງຄືວ່າບໍ່ສະດວກສໍາລັບຜູ້ໃຊ້ທົ່ວໄປທີ່ຈະເຮັດວຽກກັບບໍລິການປະໂຫຍດ, ແຕ່ນີ້ແມ່ນພຽງແຕ່ຢູ່ glance ທໍາອິດ. ບົດຄວາມຈະອະທິບາຍວິທີການຈັດການ tcpdump, syntax ມັນມີ, ວິທີການນໍາໃຊ້, ແລະຕົວຢ່າງຈໍານວນຫລາຍຂອງການນໍາໃຊ້ຂອງມັນຈະຖືກມອບໃຫ້.
ເບິ່ງອີກ: Tutorials ສໍາລັບການຕັ້ງຄ່າການເຊື່ອມຕໍ່ອິນເຕີເນັດໃນ Ubuntu, Debian, Ubuntu Server
ການຕິດຕັ້ງ
ລະບົບປະຕິບັດການທີ່ມີລະບົບປະຕິບັດການ Linux ຫຼາຍທີ່ສຸດກໍ່ປະກອບດ້ວຍ utility tcpdump ໃນບັນຊີລາຍຊື່ຂອງການຕິດຕັ້ງກ່ອນ, ແຕ່ຖ້າສໍາລັບເຫດຜົນບາງຢ່າງມັນບໍ່ແມ່ນຢູ່ໃນການແຈກຢາຍຂອງທ່ານ, ທ່ານກໍ່ສາມາດດາວໂຫລດແລະຕິດຕັ້ງມັນຜ່ານ "Terminal"ທີ່ຢູ່ ຖ້າ OS ຂອງທ່ານແມ່ນອີງໃສ່ Debian, ແລະນີ້ແມ່ນ Ubuntu, Linux Mint, Kali Linux ແລະຄ້າຍຄືກັນ, ທ່ານຈໍາເປັນຕ້ອງໃຊ້ຄໍາສັ່ງນີ້:
sudo apt install tcpdump
ເມື່ອຕິດຕັ້ງທ່ານຈໍາເປັນຕ້ອງໃສ່ລະຫັດຜ່ານ. ໂປດສັງເກດວ່າເມື່ອພິມມັນບໍ່ໄດ້ຖືກສະແດງ, ຍັງຢືນຢັນການຕິດຕັ້ງ, ທ່ານຕ້ອງໃສ່ຕົວອັກສອນ "D" ແລະກົດ ກະລຸນາໃສ່.
ຖ້າທ່ານມີ Red Hat, Fedora ຫຼື CentOS, ຄໍາສັ່ງການຕິດຕັ້ງຈະມີລັກສະນະນີ້:
sudo yam install tcpdump
ຫຼັງຈາກທີ່ຕິດຕັ້ງແລ້ວ, ທ່ານສາມາດໃຊ້ມັນໄດ້ທັນທີ. ນີ້ແລະຫຼາຍຫຼາຍຈະໄດ້ຮັບການປຶກສາຫາລືຕໍ່ມາໃນຂໍ້ຄວາມ.
ເບິ່ງອີກ: ຄູ່ມືການຕິດຕັ້ງ PHP ສໍາລັບ Ubuntu Server
Syntax
ເຊັ່ນດຽວກັນກັບຄໍາສັ່ງອື່ນໆ, tcpdump ມີ syntax ຂອງຕົນເອງ. ຮູ້ຈັກພຣະອົງ, ທ່ານສາມາດຕັ້ງຄ່າຕົວກໍານົດທີ່ຈໍາເປັນທັງຫມົດທີ່ຈະຖືກນໍາມາໃຊ້ໃນເວລາທີ່ປະຕິບັດຄໍາສັ່ງ. syntax ແມ່ນ:
tcpdump ຕົວເລືອກ - i ການກັ່ນຕອງອິນເຕີເນັດ
ເມື່ອນໍາໃຊ້ຄໍາສັ່ງ, ທ່ານຕ້ອງລະບຸການໂຕ້ຕອບເພື່ອຕິດຕາມ. ຕົວກອງແລະຕົວເລືອກບໍ່ແມ່ນຕົວປ່ຽນແປງບັງຄັບ, ແຕ່ພວກເຂົາເຈົ້າອະນຸຍາດໃຫ້ມີການຕັ້ງຄ່າທີ່ມີຄວາມຍືດຫຍຸ່ນຫຼາຍຂຶ້ນ.
ຕົວເລືອກ
ເຖິງແມ່ນວ່າມັນບໍ່ຈໍາເປັນຕ້ອງລະບຸຕົວເລືອກ, ມັນຍັງຈໍາເປັນຕ້ອງມີລາຍຊື່ທີ່ມີຢູ່. ຕາຕະລາງບໍ່ສະແດງລາຍຊື່ທັງຫມົດຂອງເຂົາເຈົ້າ, ແຕ່ວ່າມີພຽງຄົນທີ່ມີຊື່ສຽງຫຼາຍທີ່ສຸດ, ແຕ່ວ່າມັນມີຫຼາຍກວ່າພຽງພໍທີ່ຈະແກ້ໄຂວຽກງານຫຼາຍທີ່ສຸດ.
| ທາງເລືອກ | ຄວາມຫມາຍ |
|---|---|
| -A | ອະນຸຍາດໃຫ້ທ່ານເພື່ອຄັດເລືອກເອົາຊະນິດຂອງຮູບແບບ ASCII |
| -l | ເພີ່ມຫນ້າທີ່ເລື່ອນ. |
| -i | ຫຼັງຈາກເຂົ້າທ່ານຈໍາເປັນຕ້ອງລະບຸການໂຕ້ຕອບເຄືອຂ່າຍທີ່ຈະໄດ້ຮັບການຕິດຕາມ. ເພື່ອເລີ່ມຕົ້ນຕິດຕາມການໂຕ້ຕອບທັງຫມົດ, ໃຫ້ພິມຄໍາວ່າ "ໃດ" ຫຼັງຈາກຕົວເລືອກ. |
| -c | ສໍາເລັດຂະບວນການຕິດຕາມຫຼັງຈາກກວດເບິ່ງຈໍານວນແພັກເກດທີ່ກໍານົດໄວ້. |
| -w | ສ້າງໄຟລ໌ຂໍ້ຄວາມທີ່ມີລາຍງານການຢັ້ງຢືນ. |
| -e | ສະແດງລະດັບການເຊື່ອມຕໍ່ອິນເຕີເນັດຂອງຊຸດຂໍ້ມູນ. |
| -L | ສະແດງເສພາະໂປແກຼມເຫຼົ່ານັ້ນທີ່ສະຫນັບສະຫນູນໂດຍການໂຕ້ຕອບເຄືອຂ່າຍທີ່ລະບຸ. |
| -C | ສ້າງໄຟລ໌ອື່ນໃນຂະນະທີ່ຂຽນຊຸດຖ້າຂະຫນາດຂອງມັນມີຂະຫນາດໃຫຍ່ກ່ວາຫນຶ່ງທີ່ຖືກລະບຸ. |
| -r | ເປີດໄຟລ໌ສໍາລັບການອ່ານທີ່ຖືກສ້າງຂື້ນດ້ວຍທາງເລືອກ -w. |
| -j | ຮູບແບບ TimeStamp ຈະຖືກນໍາໃຊ້ສໍາລັບການບັນທຶກການຫຸ້ມຫໍ່. |
| -J | ຊ່ວຍໃຫ້ທ່ານສາມາດເບິ່ງທຸກຮູບແບບທີ່ມີຢູ່ TimeStamp |
| -G | ໃຊ້ເພື່ອສ້າງໄຟລ໌ທີ່ມີບັນທຶກ. ຕົວເລືອກຍັງຮຽກຮ້ອງໃຫ້ມີມູນຄ່າຊົ່ວຄາວ, ຫຼັງຈາກທີ່ບັນທຶກໃຫມ່ຈະຖືກສ້າງຂຶ້ນ |
| -v, -vv, -vvv | ອີງຕາມຈໍານວນຕົວອັກສອນໃນຕົວເລືອກ, ຜົນຜະລິດຂອງຄໍາສັ່ງຈະກາຍເປັນລາຍະລະອຽດເພີ່ມເຕີມ (ການເພີ່ມຂຶ້ນແມ່ນອັດຕາສ່ວນໂດຍກົງກັບຈໍານວນຕົວອັກສອນ) |
| -f | ຜົນຜະລິດສະແດງຊື່ໂດເມນຂອງທີ່ຢູ່ IP |
| -F | ອະນຸຍາດໃຫ້ທ່ານອ່ານຂໍ້ມູນບໍ່ໄດ້ຈາກອິນເຕີເຟດເຄືອຂ່າຍ, ແຕ່ຈາກໄຟລ໌ທີ່ລະບຸ |
| -D | ສະແດງໃຫ້ເຫັນການໂຕ້ຕອບເຄືອຂ່າຍທັງຫມົດທີ່ສາມາດໃຊ້ໄດ້. |
| -n | ປິດການສະແດງຜົນຂອງຊື່ໂດເມນ |
| -Z | ລະບຸຜູ້ໃຊ້ທີ່ບັນຊີໄຟລ໌ທັງຫມົດຈະຖືກສ້າງຂຶ້ນ. |
| -K | ຂ້າມການກວດສອບການກວດສອບ |
| -q | ການສະແດງຂໍ້ມູນຂ່າວສານສັ້ນໆ |
| -H | ກວດພົບຫົວຂໍ້ 802.11s |
| -I | ໃຊ້ເມື່ອຈັບພາບບັນຈຸໃນໂຫມດຈໍສະແດງຜົນ. |
ມີການກວດສອບທາງເລືອກ, ຂ້າງລຸ່ມນີ້ພວກເຮົາຫັນໂດຍກົງກັບຄໍາຮ້ອງສະຫມັກຂອງພວກເຂົາ. ໃນເວລານີ້, ການກັ່ນຕອງຈະຖືກພິຈາລະນາ.
ການກັ່ນຕອງ
ດັ່ງທີ່ໄດ້ກ່າວມາໃນຕອນຕົ້ນຂອງບົດຄວາມ, ທ່ານສາມາດເພີ່ມການກັ່ນຕອງໄປຫາ syntax tcpdump. ໃນປັດຈຸບັນທີ່ສຸດຂອງພວກເຂົາທີ່ຈະໄດ້ຮັບການພິຈາລະນາ:
| ຕົວກອງ | ຄວາມຫມາຍ |
|---|---|
| host | ລະບຸຊື່ໂຮດ. |
| net | ກໍານົດ subnet IP ແລະເຄືອຂ່າຍ |
| ip | ກໍານົດທີ່ຢູ່ໂປໂຕຄອນ |
| src | ສະແດງກ່ອງຂໍ້ມູນທີ່ຖືກສົ່ງອອກຈາກທີ່ຢູ່ທີ່ລະບຸ |
| dst | ສະແດງຕາຕະລາງທີ່ໄດ້ຮັບໂດຍທີ່ຢູ່ທີ່ລະບຸ. |
| arp, udp, tcp | ການກັ່ນຕອງໂດຍຫນຶ່ງໃນໂປໂຕຄອນ |
| port | ສະແດງຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບສະເພາະໃດຫນຶ່ງ. |
| ແລະ, ຫຼື | ໃຊ້ເພື່ອສົມທົບການກັ່ນຕອງຫຼາຍໃນຄໍາສັ່ງ. |
| ນ້ອຍ, ຫຼາຍກວ່າເກົ່າ | ບັນດາຊຸດການຜະລິດຂະຫນາດນ້ອຍກວ່າຫຼືຂະຫນາດໃຫຍ່ກວ່າຂະຫນາດທີ່ກໍານົດ |
ທັງຫມົດຂອງການກັ່ນຕອງຂ້າງເທິງສາມາດໄດ້ຮັບການອະນຸຍາດໃຫ້ກັນແລະກັນ, ສະນັ້ນໃນການອອກຄໍາສັ່ງທ່ານຈະສັງເກດເຫັນພຽງແຕ່ຂໍ້ມູນທີ່ທ່ານຕ້ອງການເບິ່ງ. ເພື່ອເຂົ້າໃຈລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບການນໍາໃຊ້ຕົວກອງຂ້າງເທິງ, ມັນເປັນມູນຄ່າໃຫ້ຕົວຢ່າງ.
ເບິ່ງເພີ່ມເຕີມ: ຄໍາສັ່ງທີ່ໃຊ້ໃນ Linux Terminal
ຕົວຢ່າງຂອງການນໍາໃຊ້
ຕົວເລືອກ syntax tcpdump ເລື້ອຍໆຈະຖືກລະບຸ. ທັງຫມົດຂອງພວກເຂົາບໍ່ສາມາດຖືກລະບຸໄວ້, ເນື່ອງຈາກການປ່ຽນແປງຂອງພວກເຂົາສາມາດເປັນນິດ.
ເບິ່ງລາຍະການອິນເຕີເຟດ
ແນະນໍາໃຫ້ຜູ້ໃຊ້ແຕ່ລະຄົນທໍາອິດກວດເບິ່ງບັນຊີຂອງອິນເຕີເຟດເຄືອຂ່າຍທັງຫມົດທີ່ສາມາດຕິດຕາມ. ຈາກຕາຕະລາງຂ້າງເທິງນີ້ພວກເຮົາຮູ້ວ່າສໍາລັບການນີ້, ທ່ານຈໍາເປັນຕ້ອງໃຊ້ທາງເລືອກ -D, ດັ່ງນັ້ນໃນ terminal ໃຫ້ດໍາເນີນການຄໍາສັ່ງຕໍ່ໄປນີ້:
sudo tcpdump-D
ຕົວຢ່າງ:
ໃນຂະນະທີ່ທ່ານສາມາດເບິ່ງເຫັນໄດ້, ມີແປດອິນເຕີເຟດໃນຕົວຢ່າງທີ່ສາມາດເບິ່ງໄດ້ໂດຍໃຊ້ຄໍາສັ່ງ tcpdump. ບົດຄວາມຈະສະຫນອງຕົວຢ່າງຂອງ ppp0, ທ່ານສາມາດໃຊ້ອື່ນໆ.
ການເກັບກໍາການຈະລາຈອນປົກກະຕິ
ຖ້າທ່ານຈໍາເປັນຕ້ອງຕິດຕາມການໂຕ້ຕອບເຄືອຂ່າຍດຽວ, ທ່ານສາມາດເຮັດແບບນີ້ໄດ້ດ້ວຍຕົວເລືອກ -iທີ່ຢູ່ ຢ່າລືມເຂົ້າຊື່ຊື່ຂອງອິນເຕີເນັດຫຼັງຈາກເຂົ້າໄປ. ນີ້ແມ່ນຕົວຢ່າງຂອງການປະຕິບັດຄໍາສັ່ງນີ້:
sudo tcpdump -i ppp0
ກະລຸນາສັງເກດວ່າທ່ານຈໍາເປັນຕ້ອງໃສ່ "sudo" ກ່ອນຄໍາສັ່ງຂອງຕົວເອງເພາະວ່າມັນຕ້ອງໃຊ້ສິດຂອງ superuser.
ຕົວຢ່າງ:
ຫມາຍເຫດ: ຫຼັງຈາກກົດ Enter ໃນ "Terminal", ຂໍ້ມູນຈະຖືກສະແດງຢ່າງຕໍ່ເນື່ອງ. ເພື່ອຢຸດການໄຫຼຂອງພວກເຂົາ, ທ່ານຈໍາເປັນຕ້ອງກົດປຸ່ມ Ctrl + C.
ຖ້າທ່ານດໍາເນີນການຄໍາສັ່ງໂດຍບໍ່ມີຕົວເລືອກແລະການກັ່ນຕອງເພີ່ມເຕີມ, ທ່ານຈະເຫັນຮູບແບບດັ່ງຕໍ່ໄປນີ້ສໍາລັບການສະແດງຊຸດຕິດຕາມ:
22: 18: 52597573 IP vrrp-topf2pmailerhttps> 10066735482: Flags [P], seq 1: 595, ack 1118, win 6494, options [nop, nop, TS val 257060077 ecr 697597623], ຍາວ 594
ບ່ອນທີ່ສີແມ່ນເນັ້ນໃສ່:
- ສີຟ້າ - ເວລາທີ່ໄດ້ຮັບການຫຸ້ມຫໍ່;
- orange-protocol version
- ສີຂຽວ - ທີ່ຢູ່ຂອງຜູ້ສົ່ງ;
- ສີມ່ວງ - ທີ່ຢູ່ຂອງຜູ້ຮັບ;
- ສີຂີ້ເຖົ່າ - ຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບ tcp;
- ຂະຫນາດຂອງສີແດງ (ສະແດງໃນ bytes).
syntax ນີ້ມີຄວາມສາມາດໃນການສົ່ງອອກໃນປ່ອງຢ້ຽມ "Terminal" ໂດຍບໍ່ມີການນໍາໃຊ້ຕົວເລືອກເພີ່ມເຕີມ.
ເກັບກໍາຂໍ້ມູນທີ່ມີທາງເລືອກ -v
ດັ່ງທີ່ຮູ້ຈັກຈາກຕາຕະລາງ, ທາງເລືອກ -v ອະນຸຍາດໃຫ້ທ່ານເພີ່ມຈໍານວນຂໍ້ມູນ. ຂໍໃຫ້ພິຈາລະນາຕົວຢ່າງ. ກວດສອບການໂຕ້ຕອບດຽວກັນ:
sudo tcpdump -v -i ppp0
ຕົວຢ່າງ:
ໃນທີ່ນີ້ທ່ານສາມາດເບິ່ງວ່າເສັ້ນດັ່ງຕໍ່ໄປນີ້ປາກົດຢູ່ໃນຜົນຜະລິດ:
IP (tos 0x0, ttl 58, id 30675, offset 0, flags [DF], proto TCP (6), length 52
ບ່ອນທີ່ສີແມ່ນເນັ້ນໃສ່:
- orange-protocol version
- ສີຟ້າ - ຊີວິດຂອງໂປໂຕຄອນ;
- ສີຂຽວ - ຄວາມຍາວຂອງຫົວຂໍ້ພາກສະຫນາມ;
- ສີມ່ວງ - ສະບັບຂອງຊຸດ tcp;
- ຂະຫນາດຂອງສີແດງ.
ນອກຈາກນີ້ໃນ syntax ຄໍາສັ່ງທ່ານສາມາດຂຽນຕົວເລືອກ -vv ຫຼື -vvv, ຊຶ່ງຈະສືບຕໍ່ເພີ່ມຈໍານວນຂໍ້ມູນທີ່ສະແດງໃນຫນ້າຈໍ.
ທາງເລືອກ -w ແລະ -r
ຕາຕະລາງທາງເລືອກໄດ້ກ່າວເຖິງຄວາມເປັນໄປໄດ້ຂອງການບັນທຶກຂໍ້ມູນທັງຫມົດໃນເອກະສານແຍກຕ່າງຫາກເພື່ອໃຫ້ພວກເຂົາສາມາດເບິ່ງໄດ້ໃນພາຍຫລັງ. ຕົວເລືອກນີ້ແມ່ນຮັບຜິດຊອບສໍາລັບການນີ້. -wທີ່ຢູ່ ມັນງ່າຍດາຍທີ່ຈະນໍາໃຊ້, ພຽງແຕ່ໃສ່ມັນໃນຄໍາສັ່ງແລະຫຼັງຈາກນັ້ນໃສ່ຊື່ຂອງໄຟລ໌ໃນອະນາຄົດດ້ວຍການຂະຫຍາຍ "pcap"ທີ່ຢູ່ ພິຈາລະນາຕົວຢ່າງທັງຫມົດ:
sudo tcpdump -i ppp0 -w filepcap
ຕົວຢ່າງ:
ກະລຸນາສັງເກດ: ໃນຂະນະທີ່ຂຽນບັນທຶກເຂົ້າໄຟລ໌, ຂໍ້ຄວາມທີ່ບໍ່ມີຢູ່ໃນຫນ້າຈໍ "Terminal".
ເມື່ອທ່ານຕ້ອງການເບິ່ງຜົນຜະລິດທີ່ບັນທຶກ, ທ່ານຈໍາເປັນຕ້ອງໃຊ້ທາງເລືອກ -rປະຕິບັດຕາມໂດຍຊື່ຂອງໄຟລ໌ທີ່ບັນທຶກຜ່ານມາ. ມັນຖືກນໍາໃຊ້ໂດຍບໍ່ມີທາງເລືອກອື່ນແລະການກັ່ນຕອງ:
sudo tcpdump -r filepcap
ຕົວຢ່າງ:
ທັງສອງທາງເລືອກເຫຼົ່ານີ້ແມ່ນດີເລີດໃນກໍລະນີທີ່ທ່ານຕ້ອງການປະຢັດຂໍ້ມູນຂະຫນາດໃຫຍ່ສໍາລັບການວິເຄາະພາຍຫຼັງ.
ການກັ່ນຕອງ IP
ຈາກຕາຕະລາງການກັ່ນຕອງ, ພວກເຮົາຮູ້ວ່າ dst ອະນຸຍາດໃຫ້ທ່ານສະແດງເທິງຫນ້າຈໍຄອນໂຊນເທົ່ານັ້ນແພັກເກດເຫລົ່ານັ້ນທີ່ໄດ້ຮັບໂດຍທີ່ຢູ່ໃນລະຫັດຄໍາສັ່ງ. ດັ່ງນັ້ນ, ມັນແມ່ນສະດວກຕໍ່ການເບິ່ງຄອມພິວເຕີ້ທີ່ໄດ້ຮັບໂດຍຄອມພິວເຕີຂອງທ່ານ. ເພື່ອເຮັດສິ່ງນີ້, ທີມງານພຽງແຕ່ຕ້ອງການກໍານົດທີ່ຢູ່ IP ຂອງທ່ານ:
sudo tcpdump -i ppp0 ip dst 100667
ຕົວຢ່າງ:
ຕາມທີ່ທ່ານສາມາດເບິ່ງໄດ້, ນອກຈາກນັ້ນ dst, ໃນທີມງານ, ພວກເຮົາຍັງໄດ້ລົງທະບຽນຕົວກັ່ນຕອງ ipທີ່ຢູ່ ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ພວກເຮົາບອກກັບຄອມພິວເຕີວ່າເມື່ອເລືອກເອົາຂໍ້ມູນ, ເຂົາຈະເອົາໃຈໃສ່ກັບທີ່ຢູ່ IP ຂອງເຂົາເຈົ້າ, ແລະບໍ່ແມ່ນຕົວກໍານົດອື່ນໆ.
ໂດຍ IP, ທ່ານສາມາດກັ່ນຕອງແລະສົ່ງກ່ອງຂໍ້ມູນ. ໃນຕົວຢ່າງພວກເຮົາໃຫ້ IP ຂອງພວກເຮົາອີກເທື່ອຫນຶ່ງ. ດັ່ງນັ້ນ, ພວກເຮົາຈະຕິດຕາມຊຸດທີ່ຖືກສົ່ງໄປຈາກຄອມພິວເຕີຂອງພວກເຮົາໄປຍັງສະຖານທີ່ອື່ນໆ. ໃຫ້ເຮັດດັ່ງຕໍ່ໄປນີ້, ດໍາເນີນການຄໍາສັ່ງດັ່ງຕໍ່ໄປນີ້:
sudo tcpdump -i ppp0 ip src 106667
ຕົວຢ່າງ:
ຂະນະທີ່ທ່ານສາມາດເບິ່ງເຫັນໄດ້, ພວກເຮົາໄດ້ປ່ຽນແປງການກັ່ນຕອງໃນ syntax ຄໍາສັ່ງ. dst on src, ດັ່ງນັ້ນຈຶ່ງບອກເຄື່ອງທີ່ຈະຄົ້ນຫາຜູ້ສົ່ງໂດຍ IP.
HOST ການກັ່ນຕອງ
ໂດຍການປຽບທຽບກັບ IP ໃນທີມ, ພວກເຮົາສາມາດລະບຸຕົວກອງ hostເພື່ອເຮັດໃຫ້ເກີດຄວາມເສຍຫາຍຕໍ່ບັນດາເອກະສານທີ່ມີຄວາມສົນໃຈ. ນັ້ນແມ່ນ, ໃນໄວຢາກອນ, ແທນທີ່ຈະເປັນທີ່ຢູ່ IP ຂອງຜູ້ສົ່ງ / ຜູ້ຮັບ, ທ່ານຈໍາເປັນຕ້ອງກໍານົດເຈົ້າຂອງມັນ. ມັນເບິ່ງຄືວ່ານີ້:
sudo tcpdump-i ppp0 dst host google-public-dns-agoogle.com
ຕົວຢ່າງ:
ໃນຮູບພາບທີ່ທ່ານສາມາດເບິ່ງເຫັນໄດ້ໃນ "Terminal" ພຽງແຕ່ແພັກເກັດທີ່ຖືກສົ່ງມາຈາກ IP ຂອງພວກເຮົາທີ່ຈະ host.com google.com ຖືກສະແດງ. ຕາມທີ່ທ່ານສາມາດເບິ່ງເຫັນໄດ້, ແທນທີ່ຈະເປັນເຈົ້າພາບຂອງ google, ທ່ານສາມາດເຂົ້າລະບົບອື່ນໃດ.
ເຊັ່ນດຽວກັບການກັ່ນຕອງ IP, syntax ແມ່ນ: dst ສາມາດທົດແທນໂດຍ srcເພື່ອເບິ່ງຊຸດຂໍ້ມູນທີ່ຖືກສົ່ງໄປຫາຄອມພິວເຕີຂອງທ່ານ:
sudo tcpdump -i ppp0 src host google-public-dns-agooglecom
ຫມາຍເຫດ: ຕົວກອງໂຮດຈະຕ້ອງພາຍຫຼັງ dst ຫຼື src, ຖ້າບໍ່ດັ່ງນັ້ນຄໍາສັ່ງຈະສ້າງຂໍ້ຜິດພາດ. ໃນກໍລະນີຂອງການກັ່ນຕອງ IP, ກົງກັນຂ້າມ, dst ແລະ src ແມ່ນຢູ່ທາງຫນ້າຂອງຕົວກອງ ip.
Filter ແລະແລະຫຼື
ຖ້າທ່ານຕ້ອງການນໍາໃຊ້ຕົວກອງຕ່າງໆໃນເວລາຫນຶ່ງໃນຄໍາສັ່ງຫນຶ່ງ, ຫຼັງຈາກນັ້ນທ່ານຈໍາເປັນຕ້ອງໃຊ້ການກັ່ນຕອງ. ແລະ ຫຼື ຫຼື (ຂຶ້ນກັບກໍລະນີ). ໂດຍການກໍານົດການກັ່ນຕອງໃນ syntax ແລະແຍກພວກເຂົາດ້ວຍຄໍາສັ່ງເຫຼົ່ານີ້, ທ່ານ "ເຮັດ" ເຮັດວຽກເປັນຫນຶ່ງ. ໃນຕົວຢ່າງ, ເບິ່ງຄືວ່ານີ້:
sudo tcpdump -i ppp0 ip dst 9547144254 ຫະລື ip src 9547144254
ຕົວຢ່າງ:
ຈາກ syntax ຄໍາສັ່ງທ່ານສາມາດເບິ່ງວ່າພວກເຮົາຕ້ອງການສະແດງ "Terminal" ທຸກໆແພັກເກັດທີ່ຖືກສົ່ງໄປຫາທີ່ຢູ່ 9547.144.254 ແລະບັນດາແພັກເກັດທີ່ໄດ້ຮັບໂດຍທີ່ຢູ່ດຽວກັນ. ທ່ານຍັງສາມາດປ່ຽນແປງຕົວແປບາງໃນການສະແດງອອກນີ້. ຕົວຢ່າງ, ແທນທີ່ຈະ IP, ລະບຸ HOST ຫຼືໂດຍກົງແທນທີ່ຢູ່ດ້ວຍຕົວເອງ.
Port portrange ແລະ portrange
ຕົວກອງ port ເຫມາະສົມສໍາລັບເວລາທີ່ທ່ານຕ້ອງການທີ່ຈະໄດ້ຮັບຂໍ້ມູນຂ່າວສານກ່ຽວກັບບັນດາເອກະສານທີ່ມີພອດເສພາະ. ດັ່ງນັ້ນ, ຖ້າທ່ານພຽງແຕ່ຕ້ອງການຕອບຄໍາຖາມຫຼືການສອບຖາມ DNS, ທ່ານຈໍາເປັນຕ້ອງລະບຸ Port 53:
sudo tcpdump -vv -i ppp0 port 53
ຕົວຢ່າງ:
ຖ້າທ່ານຕ້ອງການເບິ່ງແພັກເກດ http, ທ່ານຈໍາເປັນຕ້ອງໃສ່ Port 80:
sudo tcpdump -vv -i ppp0 port 80
ຕົວຢ່າງ:
ໃນບັນດາສິ່ງອື່ນໆ, ມັນກໍ່ສາມາດຕິດຕາມໄລຍະຫ່າງຂອງທ່າເຮືອ. ເພື່ອເຮັດສິ່ງນີ້, ສະຫມັກຂໍເອົາການກັ່ນຕອງ portrange:
sudo tcpdump portrange 50-80
ຕາມທີ່ທ່ານສາມາດເບິ່ງເຫັນໄດ້, ພ້ອມກັບການກັ່ນຕອງ portrange ມັນບໍ່ຈໍາເປັນຕ້ອງລະບຸຕົວເລືອກເພີ່ມເຕີມ. ພຽງແຕ່ກໍານົດຂອບເຂດ.
Filter Protocol
ນອກນັ້ນທ່ານຍັງສາມາດສະແດງສະເພາະການເຂົ້າຊົມທີ່ສອດຄ້ອງກັບໂປໂຕຄອນໃດໆ. ເພື່ອເຮັດສິ່ງນີ້, ໃຊ້ຊື່ຂອງໂປໂຕຄອນນີ້ເປັນຕົວກອງ. ໃຫ້ເບິ່ງຕົວຢ່າງ udp:
sudo tcpdump -vvv -i ppp0 udp
ຕົວຢ່າງ:
ໃນຂະນະທີ່ທ່ານສາມາດເບິ່ງໃນຮູບພາບ, ຫຼັງຈາກການປະຕິບັດຄໍາສັ່ງໃນ "Terminal" ພຽງແຕ່ແພັກເກັດທີ່ມີໂປໂຕຄອນໄດ້ຖືກສະແດງ udpທີ່ຢູ່ ດັ່ງນັ້ນ, ທ່ານສາມາດກັ່ນຕອງໂດຍຄົນອື່ນ, ຕົວຢ່າງ, arp:
sudo tcpdump -vvv -i ppp0 arp
ຫຼື tcp:
sudo tcpdump -vvv -i ppp0 tcp
Filter net
Operator net ຊ່ວຍເຮັດໃຫ້ການກັ່ນຕອງອອກຕາມບັນດາການກໍານົດຂອງເຄືອຂ່າຍຂອງພວກເຂົາ. ມັນງ່າຍທີ່ຈະໃຊ້ເປັນສ່ວນທີ່ເຫຼືອ - ທ່ານຈໍາເປັນຕ້ອງກໍານົດຄຸນລັກສະນະໃນ syntax net, ຫຼັງຈາກນັ້ນໃສ່ທີ່ຢູ່ເຄືອຂ່າຍ. ນີ້ແມ່ນຕົວຢ່າງຂອງຄໍາສັ່ງດັ່ງກ່າວນີ້:
sudo tcpdump -i ppp0 net 19216811
ຕົວຢ່າງ:
ການກັ່ນຕອງໂດຍຂະຫນາດຊຸດ
ພວກເຮົາຍັງບໍ່ໄດ້ພິຈາລະນາສອງຕົວກັ່ນຕອງທີ່ຫນ້າສົນໃຈຫຼາຍ: ນ້ອຍລົງ ແລະ ຫຼາຍກວ່າທີ່ຢູ່ ຈາກຕາຕະລາງທີ່ມີການກັ່ນຕອງ, ພວກເຮົາຮູ້ວ່າພວກເຂົາໃຊ້ເພື່ອສົ່ງອອກຂໍ້ມູນຫຼາຍໆຂໍ້ມູນ (ນ້ອຍລົງ) ຫະລືນ້ອຍກວ່າ (ຫຼາຍກວ່າ) ຂະຫນາດທີ່ກໍານົດໄວ້ຫຼັງຈາກທີ່ມີຄຸນສົມບັດຖືກປ້ອນ.
ສົມມຸດວ່າພວກເຮົາຕ້ອງການພຽງແຕ່ຕິດຕາມກວດກາບັນຊີທີ່ບໍ່ເກີນ 50 bits, ຫຼັງຈາກນັ້ນຄໍາສັ່ງຈະເບິ່ງຄືວ່ານີ້:
sudo tcpdump -i ppp0 less 50
ຕົວຢ່າງ:
ໃນປັດຈຸບັນໃຫ້ສະແດງໃນ "Terminal" ແພັກເກັດຂະຫນາດໃຫຍ່ກວ່າ 50 ບິດ:
sudo tcpdump-i ppp0 greater 50
ຕົວຢ່າງ:
ຕາມທີ່ທ່ານສາມາດເບິ່ງເຫັນໄດ້, ພວກເຂົາຖືກນໍາໃຊ້ເທົ່າທຽມກັນ, ຄວາມແຕກຕ່າງພຽງແຕ່ຢູ່ໃນຊື່ຂອງຕົວກອງ.
ສະຫຼຸບ
ໃນຕອນທ້າຍຂອງບົດຄວາມພວກເຮົາສາມາດສະຫຼຸບໄດ້ວ່າທີມງານ tcpdump - ນີ້ແມ່ນເຄື່ອງມືທີ່ດີທີ່ທ່ານສາມາດຕິດຕາມຊຸດຂໍ້ມູນທີ່ສົ່ງຜ່ານອິນເຕີເນັດ. ແຕ່ສໍາລັບການນີ້ມັນບໍ່ພຽງພໍທີ່ຈະເຂົ້າໄປໃນຄໍາສັ່ງຕົວມັນເອງ "Terminal"ທີ່ຢູ່ ເພື່ອໃຫ້ບັນລຸຜົນທີ່ຕ້ອງການຈະໄດ້ຮັບພຽງແຕ່ຖ້າທ່ານໃຊ້ທຸກປະເພດຂອງຕົວເລືອກແລະການກັ່ນຕອງ, ເຊັ່ນດຽວກັນກັບການປະສົມປະສານຂອງພວກເຂົາ.
