သငျသညျကို Linux ပေါ်တွင်ကွန်ယက်ကို packets တွေကိုခွဲခြမ်းစိတ်ဖြာသို့မဟုတ် sniff ဖို့လိုအပ်ပါက, ဒီ command-line utility ကိုသုံးစွဲဖို့အကောင်းဆုံးဖြစ်ပါတယ် tcpdump။ ဒါပေမယ့်ပြဿနာတစ်ခုအတွက်ပေါ်ပေါက်မဟုတ်ဘဲ၎င်း၏စီမံခန့်ခွဲမှုရှုပ်ထွေး။ ပျမ်းမျှအသုံးပြုသူမသက်မသာယင်း utility ကိုအတူလုပ်ကိုင်ကြောင်းထင်လိမ့်မယ်, ဒါပေမယ့်သူကသာပထမတစ်ချက်မှာဖြစ်ပါတယ်။ ဤဆောင်းပါး၌သငျသညျအဲဒါကိုဘယ်လိုသုံး, ဖြစ်သည့် syntax, အ tcpdump ဆောက်လုပ်ဖို့ဘယ်လိုလေ့လာသင်ယူကြလိမ့်မည်, စသည်၎င်း၏အသုံးပြုမှုများပြားနမူနာဖြစ်လိမ့်မည်။
ကိုလည်းကြည့်ပါ: Ubuntu ကို, Debian အတွက်အင်တာနက်ကွန်နက်ရှင်တက် setting များအတွက်လမ်းညွှန်ချက်များ, Ubuntu ကို Server ကို
တပ်ဆင်
Linux ကိုအပေါ်အများစုက operating system ကို developer များ Pre-installed များ၏စာရင်းအပေါ် tcpdump utility ကိုတို့ပါဝင်သည်, ဒါပေမယ့်တချို့အကြောင်းပြချက်ကသင့်ရဲ့ဖြန့်ဖြူးအတွက်မပါလျှင်, သင်အမြဲဒေါင်းလုဒ်လုပ်ပြီးမှတဆင့်တပ်ဆင်နိုင်သည် "Terminal နှင့်"။ သငျသညျ Debian အပေါ်အခြေခံပြီး OS ကိုရှိသည်, ဒါကြောင့် Ubuntu ကို, Linux Mint, Kali Linux နဲ့တူရဲ့လျှင်သင်ဒီ command ကို run ဖို့လိုအပ်:
sudo tcpdump apt install
installation ကိုမှာသင့်ရဲ့စကားဝှက်ကိုရိုက်ထည့်ဖို့လိုအပ်ပါတယ်။ စာရိုက်သည့်အခါကပြမကြောင်းသတိပြုပါ, နှင့်သင်္ကေတရိုက်ထည့်ရန်လိုအပ်ကြောင်းကိုအတည်ပြုရန် ကျေးဇူးပြု. "D:" နှင့်စာနယ်ဇင်း ဝင်ရောက်.
: သင် Red Hat, Fedora သို့မဟုတ် CentOS အောက်ပါပုံစံကိုတင်ထားရန်အမိန့်ရှိသည်ဆိုလျှင်
sudo မျောက်ဥ tcpdump install
ယင်း utility ကိုတပ်ဆင်ထားသည်နှင့်တစ်ပြိုင်နက်, ကခကျြခငျြးသုံးနိုင်တယ်။ ဒီနှင့်အခြားသောအမှုအရာတွင်စာသားအတွက်ထပ်မံဆွေးနွေးကြပါလိမ့်မယ်။
ကိုလည်းကြည့်ပါ: Ubuntu ကိုဆာဗာများတွင်တပ်ဆင်လမ်းညွှန် PHP ကို
syntax
အခြားမည်သည့်အဖွဲ့ကလိုပဲ, tcpdump ၎င်း၏ကိုယ်ပိုင် syntax ရှိပါတယ်။ သူ့ကို သိ. သင်အဖွဲ့သည်ဘို့စဉ်းစားခံရဖို့အားလုံးလိုအပ်သော parameters တွေကိုတောင်းဆိုနိုင်ပါသည်။ အောက်မှာဖေါ်ပြတဲ့အတိုင်း syntax ဖြစ်ပါသည်:
-i option ကို filter များ interface ကို tcpdump
သင်အသုံးပြုလိုက်တဲ့အခါသင်ကျိန်းသေခြေရာခံခြင်းများအတွက် interface ကိုသတ်မှတ်ဖို့လိုအပ်ပါလိမ့်မယ်။ စိစစ်မှုများနဲ့ options - ကမဖြစ်မနေ variable တွေကိုမဟုတ်ဘူး, ဒါပေမဲ့သူတို့သင်တစ်ဦးထက်ပိုသောပြောင်းလွယ်ပြင်လွယ်စီစဉ်ဖွဲ့စည်းမှုကိုလုပ်ဆောင်ခွင့်ပြုသည်။
ရွေးချယ်မှုများ
ထို option ပေမယ့်နှင့်သေချာပေါက်ရရှိနိုင်စာရင်းနေဆဲလိုအပ်ညွှန်ပြမထားဘူး။ ပြသစားပွဲပေါ်မှာသူတို့ထဲကတစ်ခုလုံးကိုစာရင်းသည်မဟုတ်, သာလူကြိုက်အများဆုံး, ဒါပေမယ့်သူတို့ကအလုပ်များကိုအများဆုံးဖြေရှင်းဖို့လုံလောက်တဲ့ထက်ပိုပါတယ်။
option ကို | အဓိပ်ပါယျ |
---|---|
-a | ဒါဟာသင် ASCII format နဲ့ရန် packets တွေကို sort ခွင့်ပြု |
-l | တစ်ဦး scrolling မ function ကိုထပ်ဖြည့် |
-i | ဝင်ရောက်ပြီးနောက်သင်စောင့်ကြည့်မည်ဖြစ်ကြောင်းကွန်ယက် interface ကို specify လုပ်ဖို့လိုအပ်ပါတယ်။ အားလုံး interfaces ခြေရာခံ start ရန်, စကားလုံး "ဆို" နောက်မှ option ကိုရိုက်ထည့်ပါ |
-c | packets တွေကို၏သတ်မှတ်ထားသောအရေအတွက်ကစစ်ဆေးနေပြီးနောက်ခြေရာခံခြင်းဖြစ်စဉ်ကိုအဆုံးသတ် |
-w | စမ်းသပ်မှုအစီရင်ခံစာနှင့်အတူစာသားဖိုင်ထုတ်ပေး |
-e | ဒါဟာ data တွေကို packet ကို၏အင်တာနက်ချိတ်ဆက်ပြသ |
-L | displays သတ်မှတ်ထားသော network interface ကိုထောက်ပံ့သောသူတို့သာ protocols များ |
-C | ၎င်း၏အရွယ်အစားဟာကြိုတင်ထက် သာ. ကြီးမြတ်သည်ဆိုပါက packet ကိုရိုက်ကူးနေစဉ်အခြားဖိုင်ဖန်တီး |
-r | ဒါဟာ -w option နဲ့အတူဖန်တီးခဲ့သောဖတ်နေဘို့ဖိုင်တစ်ခုဖွင့်လှစ် |
-j | စံချိန် packets တွေကိုမှ Timestamp Format ကိုအသုံးပြုလိမ့်မည် |
-J | ဒါဟာသင်တို့ရှိသမျှသည်ရရှိနိုင်ပါသည်ကို formats TIMESTAMP ကြည့်ရှုရန်ခွင့်ပြု |
-G | မှတ်တမ်းများနှင့်အတူဖိုင်တစ်ခုဖန်တီးရန်ကလစ်နှိပ်ပါ။ ဒီ option တွင်လည်းသစ်တစ်ခုကို log ဖန်တီးပါလိမ့်မည်သည့်ပြီးနောက်အချိန်တန်ဖိုးကိုလိုအပ်ပါတယ် |
-v, -vv, -vvv | ထို option ထဲမှာဇာတ်ကောင်များအရေအတွက်ပေါ် မူတည်. အမိန့်ကို output (ဇာတ်ကောင်များအရေအတွက်တိုက်ရိုက်အချိုးအစားအတွက်တိုးပွားလာ) ကပိုဖြစ်လာပါလိမ့်မယ် |
-f | အဆိုပါ output ကို IP လိပ်စာ၏ domain name ကိုပြသ |
-F | ဒါဟာသင်မ network interface ကိုကနေသတင်းအချက်အလက်ဖတ်ရှုဖို့ခွင့်ပြုနှင့်သတ်မှတ်ထားသောဖိုင်ထဲကနေ |
-D | ဒါဟာသုံးနိုငျသောသူအပေါင်းတို့သည်ကွန်ရက်အင်တာဖေ့ပြသ |
-n | ဒိုမိန်းအမည်များရဲ့ Display ကို Deactivates |
-Z | အဘယ်သူ၏အကောင့်အောက်မှာအသုံးပြုသူဖိုင်တွေအားလုံးကိုဖွင့်လှစ်ပါလိမ့်မည်သတ်မှတ်ရန် |
-K | ခုန်ကျော်သွားသကဲ့သို့ဖြစ်ရသည် checksum ခွဲခြမ်းစိတ်ဖြာ |
-q | ဆန္ဒပြအကျဉ်းချုပ် |
-H | 802.11 ခေါင်းကြီးပိုင်းတွင်ထုတ်ဖော်ပြသ |
-i | မော်နီတာ mode မှာ packets တွေကိုဖမ်းယူတဲ့အခါမှာအသုံးပြု |
အောက်က options များပြန်လည်သုံးသပ်ပြီးမှ, ကျနော်တို့ကသူတို့ပလီကေးရှင်းကိုတိုက်ရိုက်ဆက်လက်ဆောင်ရွက်။ ထိုအချိန်အတောအတွင်းမှာ filter များထည့်သွင်းစဉ်းစားလိမ့်မည်။
filter များ
ဆောင်းပါး၏အစဦး၌ဖော်ပြခဲ့သည့်အတိုင်း, သင် filter များ tcpdump syntax ထည့်သွင်းနိုင်ပါတယ်။ လူကြိုက်အများဆုံးသောသူတို့ကိုမစဉ်းစားပါလိမ့်မည်ကိုအဘယ်သူ:
ရေစစ် | အဓိပ်ပါယျ |
---|---|
အိမ်ရှင် | ဒါဟာ hostname ကိုသတ်မှတ်ဖို့အသုံးပြု |
ပိုက် | တစ်ခုက IP subnet နှင့်ကွန်ယက်သတ်မှတ်ရန် |
ip | ဒါဟာ protocol ကိုလိပ်စာသတ်မှတ်ဖို့အသုံးပြု |
src | ဒါဟာသတ်မှတ်ထားသောလိပ်စာသို့ပေးပို့ခဲ့သည့် packets တွေကိုပြသ |
ပညာ, | ဒါဟာသတ်မှတ်ထားသောတည်နေရာကိုလက်ခံရရှိခဲ့ကြသည်သော packets တွေကို Output ဖြစ်ပါတယ် |
arp, UDP, TCP | အဆိုပါ protocol များ၏တဦးတည်းအညီ filter |
port ကို | တိကျတဲ့ဆိပ်ကမ်းနှင့်ပတ်သက်သော displays သတင်းအချက်အလက်များ |
နှင့်, ဒါမှမဟုတ် | ဒါဟာအသင်းအတွက်မျိုးစုံ filter များပေါင်းစပ်ဖို့အသုံးပြု |
နည်း သာ. ကြီး | output packet ကိုသတ်မှတ်ထားသောအရွယ်အစားထက်ထက်လျော့နည်းသို့မဟုတ် သာ. ကြီးမြတ်သည် |
အထက်ပါ filter များအားလုံးသည်သင်သာသူတို့ကြည့်ရှုချင်သောသတင်းအချက်အလက်များစောငျ့ရှောကျပါမညျ, ပညတ်တော်တို့ကိုထုတ်ပေးဤသို့တစ်ဦးချင်းစီကတခြားနဲ့ပေါင်းစပ်နိုင်ပါတယ်။ အထက်ပါ filter များ၏အသုံးပြုမှုကိုပိုမိုအသေးစိတ်နားလည်ရန်ဥပမာပေးသင့်ပါတယ်။
ကိုလည်းကြည့်ပါ: မကြာခဏက "Terminal နှင့်" Linux ထဲရှိ command များကိုအသုံးပြုခဲ့
အသုံးပြုမှုဥပမာ
အဘယ်သူသည် tcpdump syntax ၏မကြာခဏအသုံးပြုကြသည် options များပေးလိမ့်မည်။ သူတို့ရဲ့မူကွဲအဆုံးမဲ့နိုင်ပါတယ်ဘာလို့လဲဆိုတော့သူတို့ရဲ့စာရင်းကိုအလုပ်လုပ်မည်မဟုတ်ပေ။
အဆိုပါ interface ကိုစာရင်း View
ဒါဟာတိုင်းအသုံးပြုသူပိုင်းတွင်ခြေရာခံနိုင်ပါတယ်သမျှသူ့ရဲ့ network interface တွေကို၏စာရင်းစစ်ဆေးအကြံပြုခဲ့သည်။ ဒါကြောင့် option ကိုသုံးစွဲဖို့လိုအပ်ကြောင်းအထက်ပါစားပွဲပေါ်မှာကနေကျနော်တို့ကိုသိရ -Dဒါကြောင့်တစ်ဦး terminal ကိုအောက်ပါ command ကို run:
sudo tcpdump -D
ဥပမာ:
သင်ဥပမာထဲမှာတွေ့နိုင်ပါသည်သကဲ့သို့, tcpdump အသုံးပြု. ကြည့်ရှုအားပေးနိုင်ပါသည်ရှစ် interfaces ရှိပါတယ်။ ဤဆောင်းပါးသည်ဥပမာပေးသွားမှာပါ ppp0သင်တို့သည်လည်းအခြားမည်သည့်ကိုသုံးနိုင်သည်။
ပုံမှန်အသွားအလာဖမ်းမိ
သငျသညျတစ်ခုတည်း network interface ကိုခြေရာခံချင်လျှင်, သင် options များ အသုံးပြု. ဒါလုပျနိုငျ -i။ entry ကိုအဆိုပါ interface ကိုအမည်ဖြင့်သတ်မှတ်ပြီးနောက်မေ့လျော့မနေပါနဲ့။ ဤတွင်ထိုကဲ့သို့သော command ကိုတစ်နမူနာအကောင်အထည်ဖော်မှုဖြစ်ပါသည်:
sudo tcpdump -i ppp0
ကျေးဇူးပြု. သတိပြုပါ: ကအမြစ် access ကိုလိုအပ်သည်အတိုင်းအဖွဲ့ကို "sudo" ထည့်သွင်းရန်လိုအပ်ပါသည်မီ။
ဥပမာ:
မှတ်စု: "Terminal နှင့်" တွင် Enter ကိုနှိပ်ပြီးနောက်စဉ်ဆက်မပြတ်ဖမ်းမိ packets တွေကိုပြသပါလိမ့်မည်။ သူတို့ရဲ့စီးဆင်းမှုရပ်တန့်ဖို့, သင် key combination ကိုကို Ctrl + C ကိုနှိပ်ဖို့လိုအပ်
သင်သည်မည်သည့် options နဲ့ filter များမပါဘဲ command ကို run လျှင်, သင်ခြေရာခံ packages များ၏အောက်ပါ display ကို format ကိုမြင်ရပါလိမ့်မည်:
18:: 22 52.597573 အိုင်ပီ vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: အလံများ [ P. ] seq 1: 595, 1118 ack, 6494 အနိုင်ရ, ရွေးချယ်မှုများ [nop, nop, TS Val 257 060 077 ecr 697597623] အရှည် 594
အရောင်ခွဲဝေဖြစ်ပါတယ်ဘယ်မှာ:
- အပြာ - မင်းအထုပ်ကိုလက်ခံရရှိသည့်အချိန်လည်းရှိ၏
- လိမ္မော်ရောင် - protocol ကိုဗားရှင်း;
- အစိမ်းရောင် - ပေးပို့သူရဲ့လိပ်စာ;
- ခရမ်းရောင် - လက်ခံသူ၏လိပ်စာ,
- မီးခိုးရောင် - TCP အကြောင်းပိုမိုသတင်းအချက်အလက်;
- အနီရောင် - packet ကိုအရွယ်အစား (bytes ထဲမှာဖော်ပြပါတယ်) ။
ဤသည် syntax ကိုပြတင်းပေါက်၌ဖော်ပြရန်နိုင်စွမ်းရှိပါတယ် "Terminal နှင့်" အပိုဆောင်းရွေးချယ်စရာများအသုံးပြုခြင်းမရှိဘဲ။
အဆိုပါ -v option နဲ့အတူအသွားအလာ Capture
စားပွဲကနေလူသိများသည့်အတိုင်းရွေးချယ်နိုင် -v သငျသညျအချက်အလက်များ၏ပမာဏကိုတိုးမြှင့်ပေးနိုင်သည်။ ကျွန်တော်တို့ကိုအောက်ပါဥပမာကိုထည့်သွင်းစဉ်းစားကြပါစို့။ ကျနော်တို့အတူတူ interface ကိုအတည်ပြုရန်:
sudo tcpdump -v -i ppp0
ဥပမာ:
ဒီနေရာတွင်က output အတွက်လာမယ့်မျဉ်းကြောင်းသည်ထင်ရှားကြောင်းသတိထားမိပါလိမ့်မယ်:
အိုင်ပီ (tos 0x0, TTL 58, အိုင်ဒီ 30675, 0 offset, အလံ [DF] proto သည် TCP (6), အရှည် 52
အရောင်ခွဲဝေဖြစ်ပါတယ်ဘယ်မှာ:
- လိမ္မော်ရောင် - protocol ကိုဗားရှင်း;
- အပြာ - အသက်၏ protocol ၏ကြာချိန်;
- အစိမ်းရောင် - အ header ကိုလယ်အရှည်;
- ခရမ်းရောင် - TCP အထုပ်ဗားရှင်း;
- အနီရောင် - အရွယ်အစားအထုပ်။
ထို့အပြင် command ကို syntax အတွက်, သငျသညျ option ကိုမှတ်ပုံတင်နိုင် -vv သို့မဟုတ် -vvvနောက်ထပ်မျက်နှာပြင်ပေါ်မှာပြသအချက်အလက်များ၏ပမာဏကိုတိုးမြှင့်ပါလိမ့်မယ်ဘယ်။
Option ကို -w နှင့် -r
နောက်ပိုင်းတွင်သူတို့ကြည့်ရှုနိုင်ပါသည်သို့မှသာအဆိုပါရွေးချယ်စရာစားပွဲ, သီးခြားဖိုင်အပေါငျးတို့သပြသဒေတာသိမ်းဆည်းဖို့ဖြစ်နိုင်ခြေဖော်ပြခဲ့တယ်။ ဒီ option ကိုတာဝန်ယူဆောင်ရွက်သည် -w။ မျှသာအဖွဲ့ထဲသို့ဝင်, အဲဒီနောက် extenstion နဲ့အနာဂတ်ဖိုင်၏အမည်ရိုက်ထည့်ပါကအတော်လေးရိုးရှင်းတဲ့ဖြစ်ပါသည်သုံးပါ ".Pcap"။ အားလုံးအောက်ကဥပမာကိုသုံးသပ်ကြည့်ပါ:
sudo tcpdump -i ppp0 -w file.pcap
ဥပမာ:
မှတ်စု: "Terminal နှင့်" ပေါ်တွင်ဖိုင်တစ်ဖိုင်မှ log ကိုမှတ်တမ်းတင်မဆိုစာသားကိုမပြပါဘူးအခါ။
သင်တစ်ဦးမှတျတမျးတငျထား output ကိုကြည့်ချင်သည့်အခါသငျသညျ option ကိုအသုံးပြုရမည် -rယခင်ကမှတ်တမ်းတင်ထားသောဖိုင်၏အမည်ရေးသားဖို့ရာပြီးနောက်။ အဘယ်သူမျှမကအခြားရွေးချယ်စရာနှင့် filter အတူက Apply:
sudo tcpdump -r file.pcap
ဥပမာ:
သငျသညျအကြာတွင်ခွဲခြမ်းစိတ်ဖြာများအတွက်စာသားပမာဏသိုလှောင်ရန်လိုအပ်သည့်အခါအဲဒီ options နှစ်ခုစလုံးအခြေအနေများတွင်စံပြဖြစ်ကြသည်။
အိုင်ပီများက filtering
အဆိုပါ filter ကို table ၏, ငါတို့သင်သိရ ပညာ, ဒါဟာသင် console ကိုမျက်နှာပြင် command ကို syntax အတွက်သတ်မှတ်ထားသောကြောင်းလိပ်စာလက်ခံရရှိခဲ့သူတို့သာ packets တွေကိုပြသခွင့်ပြုပါတယ်။ ဒါကြောင့်သင့်ရဲ့ကွန်ပျူတာအားဖြင့်လက်ခံရရှိသော packets တွေကိုကြည့်ရှုရန်အလွန်အဆင်ပြေသည်။ ဒီလိုလုပ်ဖို့, အဖွဲ့ကသာသင့် IP-address ကိုရိုက်ထည့်ဖို့လိုတယ်:
sudo tcpdump -i ppp0 ip ပညာ, 10.0.6.67
ဥပမာ:
သငျသညျအပြင်, ကြည့်ရှုနိုင်သကဲ့သို့ ပညာ,အဖွဲ့မှာတော့ကျွန်တော်တစ်ဦး filter ကိုအဖြစ်မှတ်ပုံတင်ခဲ့ကြ ip။ တစ်နည်းအားဖြင့်ကျနော်တို့ packages များ၏ရွေးချယ်ရေးမှကွန်ပျူတာပြောကြားခဲ့ကြသည်, ထိုသူတို့၏ IP address ကိုထက်အခြားရွေးချယ်စရာဖို့အာရုံကိုဆွဲငင်။
နဲ့အထွက် packets တွေကို IP ကိုအပေါ်အခြေခံပြီး filtered နိုင်ပါသည်။ ဥပမာမှာကျွန်ုပ်တို့၏ IP ကိုကျောပေး။ ဒါကဖြစ်ပါသည်, ကျနော်တို့ယခု packets တွေကိုအခြားအလိပ်စာများမှကျွန်တော်တို့ရဲ့ကွန်ပျူတာကနေစေလွှတ်ထားတဲ့ခြေရာခံစောင့်ရှောက်လော့။ ဒီလိုလုပ်ဖို့အောက်ပါ command ကို run:
sudo tcpdump -i ppp0 ip src 10.0.6.67
ဥပမာ:
သငျသညျ, ထို command ကို syntax ကြည့်ရှုနိုင်သကဲ့သို့, ငါတို့သည် filter ကိုပြောင်းလဲပြီ ပညာ, အပေါ် srcထိုသို့သောအားဖြင့်သူမ IP ကိုကျော်ပေးပို့သူရှာဖွေနေခဲ့ကွောငျးစက်ပြောပြ။
HOST တွင် filtering
ယင်း IP ကိုအသင်းနှင့်အတူတစ်ခုနဲ့နှိုင်းယှဉ်ခြင်းအားဖြင့်ကျနော်တို့က filter ကိုသတ်မှတ်နိုင်ပါတယ် အိမ်ရှင်အိမ်ရှင်စိတ်ဝင်စား၏ packets တွေကိုထွက်ပေါင်းပင်ရန်။ ဒါက syntax အတွက်ဖြစ်ပါတယ်အစားပေးပို့သူ / လက်ခံရရှိသူ၏ IP-address ကိုယင်း၏အိမ်ရှင်သတ်မှတ်ဖို့လိုအပ်ပါလိမ့်မယ်။ အောက်မှာဖော်ပြထားတဲ့အတိုင်းပုံပေါ်သည်:
sudo tcpdump -i ppp0 ပညာ, အိမ်ရှင် google-public-dns-a.google.com
ဥပမာ:
ပုံထဲမှာသင်ထဲမှာမွငျနိုငျ "Terminal နှင့်" အိမ်ရှင် google.com ကြှနျတျောတို့၏ IP ကိုနှင့်အတူစေလွှတ်ခဲ့သည်ကိုသာအ packets တွေကိုဖော်ပြပေးမှာဖြစ်ပါတယ်။ တန်ဖိုးထားရနိုင်သကဲ့သို့, အစားအိမ်ရှင်မှာ google ၏, သင်သည်မည်သည့်အခြားအဝင်နိုင်ပါတယ်။
အိုင်ပီအားဖြင့်စစ်ထုတ်ခြင်းနှင့်အတူအမှု, အ syntax ဖြစ်သကဲ့သို့ ပညာ, ဖြင့်အစားထိုးနိုင်ပါသည် srcသင့်ရဲ့ကွန်ပျူတာကိုစလှေတျတျောသော packets တွေကိုတွေ့မြင်ရန်:
sudo tcpdump -i ppp0 src အိမ်ရှင် google-public-dns-a.google.com
မှတ်ချက်: filter ကိုအိမ်ရှင်ပညာ, သို့မဟုတ် src ပြီးနောက်မတ်တပ်ရပ်သင့်တယ်, ဒါမှမဟုတ်အမိန့်မှားယွင်းမှုတစ်ခုပြန်လာပါလိမ့်မယ်။ အိုင်ပီအားဖြင့်စစ်ထုတ်ခြင်း၏ဖြစ်ရပ်မှာဆန့်ကျင်ပေါ်, ပညာ, နဲ့ src ip filter ကိုရင်ဆိုင်နေရပါတယ်။
တစ်သီးသန့်စစ်ထုတ်ရန်နှင့်သို့မဟုတ်နှင့်လျှောက်ထားခြင်း
သငျသညျတူညီသောအဖွဲ့အပေါ်မျိုးစုံ filter များသုံးစွဲဖို့လိုအပ်ကြောင်းရှိပါကက filter ကိုလျှောက်ထားရန်လိုအပ်ပါတယ် နှင့် သို့မဟုတ် သို့မဟုတ် (ဖြစ်ရပ်ပေါ် မူတည်. ) ။ filter ကို syntax ညွှန်ပြနှင့်ဤအော်ပရေတာများကသူတို့ကိုခွဲထုတ်, သင်တစ်ဦးအဖြစ်လုပ်ကိုင်ဖို့သူတို့ကို "အတင်း" ။ အောက်မှာဖေါ်ပြတဲ့အတိုင်းဒီ၏သာဓကတွင်ဖြစ်ပါသည်:
sudo tcpdump -i ppp0 ip ပညာ, 95.47.144.254 သို့မဟုတ် ip src 95.47.144.254
ဥပမာ:
အမိန့် syntax ကနေကျနော်တို့ဖော်ပြရန်ချင်သောရှင်းပါတယ် "Terminal နှင့်" 95.47.144.254 နှင့်ဤတူညီသောတည်နေရာအလိုက်လက်ခံရရှိ packets တွေကိုများ၏လိပ်စာသို့ပေးပို့ခဲ့ကြသောသူအပေါင်းတို့သည် packets တွေကို။ သင်တို့သည်လည်းဤအသုံးအနှုနျးအတွက် variable တွေကိုအချို့ကိုပြောင်းလဲနိုင်သည်။ ဥပမာအားဖြင့်, အစား IP ကို HOST က၏ဖြေရှင်းရန်တိုက်ရိုက်သူတို့ကိုယ်သူတို့သတ်မှတ်သို့မဟုတ်အစားထိုးလိုက်ပါ။
filter ဆိပ်ကမ်းနှင့် portrange
ရေစစ် port ကို ထိုကိစ္စများ၌စုံလင်သင်တစ်ဦးသတ်မှတ်ထားသော port နှင့်အတူ packages များနှင့် ပတ်သက်. သတင်းအချက်အလက်များရရှိရန်လိုအပ်သည့်အခါ။ သငျသညျကိုသာအဖြေကို, သို့မဟုတ် DNS queries များမြင်ချင်လျှင်ဒါ, သငျသညျဆိပ်ကမ်း 53 သတ်မှတ်ဖို့လိုအပ်:
sudo tcpdump -vv -i ppp0 ဆိပ်ကမ်းကို 53
ဥပမာ:
သင်မှာ http packets တွေကိုကြည့်ချင်လျှင်, သင် port ကို 80 ရိုက်ထည့်ဖို့လိုတယ်:
sudo tcpdump -vv -i ppp0 ဆိပ်ကမ်းကို 80
ဥပမာ:
အခြားအမှုအရာတို့ကိုသူများထဲတွင်ပါကတစ်ကြိမ်မှာဆိပ်ကမ်းများတဲ့အကွာအဝေးကိုခြေရာခံဖို့ဖြစ်နိုင်ပါတယ်။ ဤရည်ရွယ်ချက်အဘို့အသီးသန့်စစ်ထုတ်ရန် portrange:
sudo tcpdump portrange 50-80
အဆိုပါ filter ကိုနှင့် တွဲဖက်. , မြင်နိုင်ပါသည်အဖြစ် portrange အပိုဆောင်းရွေးချယ်စရာသတ်မှတ်ရန်မလိုအပ်။ တဦးတည်းသာအကွာအဝေးကိုသတ်မှတ်လိုအပ်ပါတယ်။
protocol ကိုအားဖြင့် filtering
သင်တို့သည်လည်းမည်သည့် protocol ကိုလိုက်ဖက်မယ့်သာအသွားအလာပြသနိုင်တယ်။ ဒီလိုလုပ်ဖို့, အ protocol ကိုသူ့ဟာသူတစ် filter ကိုအမည်အားအဖြစ်သုံးပါ။ ကိုစံနမူနာထည့်သွင်းစဉ်းစားကြစို့ UDP:
sudo tcpdump -vvv -i ppp0 UDP
ဥပမာ:
အဖွဲ့ပြီးနောက်, ပုံတွင်တွေ့မြင်နိုင်ပါသည်အဖြစ် "Terminal နှင့်" အဆိုပါ protocol ကိုအတူ packets တွေကိုသာပြသ UDP။ ထို့ကြောင့်သင်ကဥပမာအားဖြင့်, filtering နှင့်အခြားအထွက်သယ်နိုင်, arp:
sudo tcpdump -vvv -i ppp0 arp
သို့မဟုတ် TCP:
sudo tcpdump -vvv -i ppp0 TCP
filter ကိုအသားတင်
အော်ပရေတာ ပိုက် ဒါဟာသူတို့ရဲ့ကွန်ရက်၏သတ်မှတ်ရေးအတွက်အခြေခံအဖြစ်ယူပြီး, packets တွေကို filter မှကူညီပေးသည်။ ကြွင်းသောအရာကဲ့သို့လွယ်ကူစွာအသုံးပြုရန် - သင်က attribute ကို syntax ကိုသတ်မှတ်ရန်လိုအပ်ပါတယ် ပိုက်ထိုအခါကွန်ယက်လိပ်စာရိုက်ထည့်ပါ။ ဤတွင်ထိုကဲ့သို့သော command တစ်ခု၏ဥပမာတစ်ခုဖြစ်ပါသည်:
sudo tcpdump -i ppp0 ပိုက်ကွန်ကို 192.168.1.1
ဥပမာ:
packet ကိုအရွယ်အစားပေါ် filtering
ကျနော်တို့နှစ်ဦးကိုပိုပြီးစိတ်ဝင်စားဖို့ filter ကိုဆနျးစစျဘူး: လျော့နည်း နှင့် သာ. ကြီး။ filter များနှင့်အတူစားပွဲကနေကျနော်တို့ (သူတို့ output ကိုဒေတာ packets တွေကိုကူးအသုံးပြုကြသည်ကိုငါတို့သိကြ၏လျော့နည်း) ဒါမှမဟုတ်ဒီထက် (သာ. ကြီးအဆိုပါ input ကို attribute ကိုအပြီးသတ်မှတ်ထားသော) Size ကို။
ရဲ့ကျွန်တော်အောက်မှာဖော်ပြထားတဲ့အတိုင်းထို့နောက် command ကိုဖွစျလိမျ့မညျ, 50-bits ၏အမှတ်အသားထက်မပိုဘူးကိုသာအ packets တွေကိုအတိုင်းလိုက်နာချင်ဆိုပါစို့:
50 sudo tcpdump -i ppp0 လျော့နည်း
ဥပမာ:
အခုပြသပါစေ "Terminal နှင့်" 50-bits ထက်ပိုကြီးတဲ့ဖြစ်ကြောင်းကို packets တွေကို:
50 sudo tcpdump -i ppp0 သာ. ကြီး
ဥပမာ:
သင်တို့ကိုတွေ့မြင်နိုင်သကဲ့သို့, ထိုသူတို့ filter ကိုနာမ၌တူညီသော, တစ်ခုတည်းသောခြားနားချက်သက်ဆိုင်ပါသည်။
ကောက်ချက်
ဆောင်းပါးရဲ့အဆုံးမှာကြောင့်အသင်းကောက်ချက်ချနိုင်ပါသည် tcpdump - ဤသူသည်သင်တို့ကိုအင်တာနက်ကျော်ကူးစက်မဆိုဒေတာ packet ကိုခြေရာခံရန်ခွင့်ပြုသည်တဲ့အကြီးအကိရိယာတခုဖြစ်တယ်။ ရုံ၌ဤရည်ရွယ်ချက်များအတွက် command ကိုသူ့ဟာသူရိုက်ထည့်ဖို့ဒါပေမဲ့မလုံလောက်ဘူး "Terminal နှင့်"။ သင်တို့ရှိသမျှသည် options နဲ့ filter များ၏အမြိုးမြိုးအဖြစ်ပေါင်းစပ် သိ. သုံးနေလျှင်လိုချင်သောရလာဒ်များကိုသာအမှု၌ရရှိသောပြီအောင်မြင်ရန်။