Phenquestions
Ursprünglich wurde es 1988 von vier Mitarbeitern der Network Research Group am Lawrence Berkeley Laboratory in Kalifornien geschrieben. Es wurde elf Jahre später von Micheal Richardson und Bill Fenner im Jahr 1999 organisiert, die die tcpdump-Site erstellten. Tcpdump funktioniert auf allen Unix-ähnlichen Betriebssystemen. Die Windows-Version von Tcpdump heißt WinDump und verwendet WinPcap, die Windows-Alternative für libpcap.
Verwenden Sie den Snap, um tcpdump zu installieren:
$ sudo snap install tcpdumpVerwenden Sie Ihren Paketmanager, um tcpdump zu installieren:
$ sudo apt-get install tcpdump (Debian/Ubuntu)$ sudo dnf install tcpdump (CentOS/RHEL 6&7)
$ sudo yum install tcpdump (Fedora/CentOS/RHEL 8)
Sehen wir uns verschiedene Verwendungen und Ausgaben an, während wir tcpdump erkunden!
UDP
Tcpdump kann auch UDP-Pakete ausgeben. Wir werden ein Netcat (nc) Tool verwenden, um ein UDP-Paket zu senden und es dann zu dumpen.
$ echo -n "tcpdumper" | nc -w 1 -u localhost 1337Im obigen Befehl senden wir ein UDP-Paket bestehend aus der Zeichenfolge "tcpdumper" zum UDP-Port 1337 über localhost. Tcpdump erfasst das über den UDP-Port 1337 gesendete Paket und zeigt es an.
Wir werden dieses Paket jetzt mit tcpdump ausgeben.
$ sudo tcpdump -i lo udp-Port 1337 -vvv -XDieser Befehl erfasst und zeigt die erfassten Daten aus den Paketen in ASCII sowie in Hex-Form an.
tcpdump: Abhören auf lo, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Bytes04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, Offset 0, Flags [DF], proto UDP (17), Länge 37)
localhost.54574 > localhost.1337: [schlechte udp-cksum 0xfe24 -> 0xeac6!] UDP, Länge 9
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E… %… @.@… ;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $tcpd
0x0020: 756d 7065 72 umper
Wie wir sehen, wurde das Paket an Port 1337 gesendet und die Länge war 9 als String tcpdumper ist 9 Bytes. Wir können auch sehen, dass das Paket im Hex-Format angezeigt wurde.
DHCP
Tcpdump kann auch Untersuchungen zu DHCP-Paketen über das Netzwerk durchführen. DHCP verwendet UDP-Port Nr. 67 oder 68, daher werden wir tcpdump nur für DHCP-Pakete definieren und begrenzen. Angenommen, wir verwenden eine WLAN-Netzwerkschnittstelle.
Der hier verwendete Befehl lautet:
tcpdump: Abhören auf wlan0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Byte
03:52:04.004356 00:11:22:33:44:55 > 00:11:22:33:44:66, Ethertype IPv4 (0x0800), Länge 342: (tos 0x0, ttl 64, id 39781, Offset 0, Flags [DF ], proto UDP (17), Länge 328)
192.168.10.21.68 > 192.168.10.1.67: [udp sum ok] BOOTP/DHCP, Request from 00:11:22:33:44:55, length 300, xid 0xfeab2d67, Flags [none] (0x0000)
Client-IP 192.168.10.16
Client-Ethernet-Adresse 00:11:22:33:44:55
Vendor-rfc1048-Erweiterungen
Magischer Keks 0x63825363
DHCP-Nachricht (53), Länge 1: Freigabe
Server-ID (54), Länge 4: 192.168.10.1
Hostname (12), Länge 6: "Papagei"
ENDE (255), Länge 0
PAD (0), Länge 0, tritt 42 . auf
DNS
DNS, auch bekannt als Domain Name System, bestätigt, dass Sie das Gesuchte erhalten, indem es den Domainnamen mit der Domainadresse abgleicht. Um die Kommunikation auf DNS-Ebene Ihres Geräts über das Internet zu überprüfen, können Sie tcpdump wie folgt verwenden:. DNS verwendet UDP-Port 53 für die Kommunikation.
$ sudo tcpdump -i wlan0 UDP-Port 53tcpdump: Abhören auf wlan0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Byte
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, Offset 0, Flags [DF], Proto UDP (17), Länge 72)
192.168.10.16.45899 > eins.einer.einer.einer.Domain: [udp sum ok] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, Offset 0, Flags [DF], proto UDP (17), Länge 104)
einer.einer.einer.einer.Domäne > 192.168.10.16.45899: [udp sum ok] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249, mozilla.cloudflare-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, Offset 0, Flags [DF], proto UDP (17), Länge 66)
192.168.10.16.34043 > eins.einer.einer.einer.Domain: [udp sum ok] 40757+ PTR? 1.1.1.1.In-Adresse.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, Offset 0, Flags [DF], proto UDP (17), Länge 95)
einer.einer.einer.einer.Domäne > 192.168.10.16.34043: [udp sum ok] 40757 q: PTR? 1.1.1.1.In-Adresse.arpa. 1/0/0 1.1.1.1.In-Adresse.arpa. [26m53s] PTR eins.einer.einer.einer. (67)
ARP
Das Address Resolution Protocol wird zum Ermitteln der Link-Layer-Adresse verwendet, z. B. einer MAC-Adresse. Sie ist mit einer bestimmten Internet-Layer-Adresse verknüpft, normalerweise einer IPv4-Adresse.
Wir verwenden tcpdump, um die in den arp-Paketen enthaltenen Daten zu erfassen und zu lesen. Der Befehl ist so einfach wie:
$ sudo tcpdump -i wlan0 arp -vvvtcpdump: Abhören auf wlan0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Byte
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), Anfrage wer-hat 192.168.10.1 erzähle 192.168.10.2, Länge 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), Anfrage wer-hat 192.168.10.21 sag 192.168.10.1, Länge 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), Antwort 192.168.10.21 ist-um 00:11:22:33:44:55 (oui Unknown), Länge 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), Anfrage wer hat 192.168.10.1 erzähle 192.168.10.2, Länge 28
ICMP
ICMP, auch bekannt als Internet Control Message Protocol, ist ein unterstützendes Protokoll in der Internet Protocol Suite. ICMP wird als Informationsprotokoll verwendet.
Um alle ICMP-Pakete auf einer Schnittstelle anzuzeigen, können wir diesen Befehl verwenden:
$ sudo tcpdump icmp -vvvtcpdump: Abhören auf wlan0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Byte
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, Offset 0, Flags [DF], Proto ICMP (1), Länge 84)
192.168.10.16 > 192.168.10.1: ICMP Echo Request, ID 47363, seq 1, Länge 64 length
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, Offset 0, Flags [keine], proto ICMP (1), Länge 84)
192.168.10.1 > 192.168.10.16: ICMP-Echoantwort, ID 47363, seq 1, Länge 64
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, Offset 0, Flags [DF], Proto ICMP (1), Länge 84)
192.168.10.16 > 192.168.10.1: ICMP Echo Request, ID 47363, seq 2, Länge 64 length
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, Offset 0, Flags [keine], proto ICMP (1), Länge 84)
192.168.10.1 > 192.168.10.16: ICMP-Echoantwort, ID 47363, seq 2, Länge 64
NTP
NTP ist ein Netzwerkprotokoll, das speziell entwickelt wurde, um die Zeit in einem Netzwerk von Maschinen zu synchronisieren. So erfassen Sie den Datenverkehr auf ntp:
$ sudo tcpdump dst-Port 12304:31:05.547856 IP (tos 0x0, ttl 64, id 34474, Offset 0, Flags [DF], proto UDP (17), Länge 76)
192.168.10.16.ntp > time-b-wwv.nist.regieren.ntp: [udp sum ok] NTPv4, Client, Länge 48
Sprunganzeige: Takt unsynchronisiert (192), Stratum 0 (nicht spezifiziert), Poll 3 (8s), Präzision -6
Root-Verzögerung: 1.000000, Wurzeldispersion: 1.000000, Referenz-ID: (unspec)
Referenzzeitstempel: 0.000000000
Zeitstempel des Absenders: 0.000000000
Zeitstempel empfangen: 0.000000000
Sendezeitstempel: 3825358265.547764155 (2021-03-21T23:31:05Z)
Absender - Empfangszeitstempel: 0.000000000
Absender - Sendezeitstempel: 3825358265.547764155 (2021-03-21T23:31:05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, Offset 0, Flags [keine], proto UDP (17), Länge 76)
Zeit-b-wwv.nist.regieren.ntp > 192.168.10.16.ntp: [udp sum ok] NTPv3, Server, Länge 48
Sprungindikator: (0), Stratum 1 (Primärreferenz), Poll 13 (8192s), Präzision -29
Root-Verzögerung: 0.000244, Wurzeldispersion: 0.000488, Referenz-ID: NIST
Referenzzeitstempel: 3825358208.000000000 (2021-03-21T23:30:08Z)
Zeitstempel des Absenders: 3825358265.547764155 (2021-03-21T23:31:05Z)
Zeitstempel empfangen: 3825358275.028660181 (2021-03-21T23:31:15Z)
Sendezeitstempel: 3825358275.028661296 (2021-03-21T23:31:15Z)
Absender - Empfangszeitstempel: +9.480896026
Absender - Sendezeitstempel: +9.480897141
SMTP
SMTP oder Simple Mail Transfer Protocol wird hauptsächlich für E-Mails verwendet. Tcpdump kann dies verwenden, um nützliche E-Mail-Informationen zu extrahieren. Um beispielsweise E-Mail-Empfänger/-Absender zu extrahieren:
$ sudo tcpdump -n -l Port 25 | grep -i 'MAIL VON\|RCPT AN'IPv6
IPv6 ist die „nächste Generation“ von IP und bietet eine breite Palette von IP-Adressen. IPv6 trägt zur langfristigen Gesundheit des Internets bei.
Verwenden Sie zum Erfassen von IPv6-Datenverkehr den IP6-Filter, der die TCP- und UDP-Protokolle mit Proto 6 und Proto-17 angibt.
$ sudo tcpdump -n -i any ip6 -vvvtcpdump: Datenverbindungstyp LINUX_SLL2
tcpdump: Abhören auf jedem Link-Typ LINUX_SLL2 (Linux gekocht v2), Snapshot-Länge 262144 Bytes
04:34:31.847359 lo In IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) Nutzlastlänge: 40) ::1.49395 > ::1.49395: [schlechte udp-cksum 0x003b -> 0x3587!] UDP, Länge 32
04:34:31.859082 lo In IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) Nutzlastlänge: 32) ::1.49395 > ::1.49395: [schlechte udp-cksum 0x0033 -> 0xeaef!] UDP, Länge 24
04:34:31.860361 lo In IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) Nutzlastlänge: 40) ::1.49395 > ::1.49395: [schlechte udp-cksum 0x003b -> 0x7267!] UDP, Länge 32
04:34:31.871100 lo In IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) Nutzlastlänge: 944) ::1.49395 > ::1.49395: [schlechte udp-cksum 0x03c3 -> 0xf890!] UDP, Länge 936
4 Pakete erfasst
12 vom Filter empfangene Pakete
0 Pakete vom Kernel verworfen
Die '-c 4' bietet eine Paketanzahl von nur bis zu 4 Paketen. Wir können die Anzahl der Pakete auf n festlegen und n Pakete erfassen.
HTTP
Das Hypertext Transfer Protocol wird verwendet, um Daten von einem Webserver an einen Browser zu übertragen, um Webseiten anzuzeigen. HTTP verwendet TCP-Formularkommunikation. Insbesondere wird TCP-Port 80 verwendet.
So drucken Sie alle IPv4-HTTP-Pakete von und zu Port 80:
tcpdump: Abhören auf wlan0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Byte03:36:00.602104 IP (tos 0x0, ttl 64, id 722, Offset 0, Flags [DF], proto TCP (6), Länge 60)
192.168.10.21.33586 > 192.168.10.1.http: Flags [S], cksum 0xa22b (korrekt), seq 2736960993, win 64240, Optionen [mss 1460,sackOK,TS val 389882294 ecr 0,nop,wscale 10], Länge 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, offset 0, Flags [DF], proto TCP (6), Länge 60)
192.168.10.1.http > 192.168.10.21.33586: Flaggen [S.], cksum 0x2dcc (korrekt), seq 4089727666, ack 2736960994, win 14480, options [mss 1460,sackOK,TS val 30996070 ecr 389882294,nop,wscale 3], Länge 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, Offset 0, Flags [DF], proto TCP (6), Länge 52)
192.168.10.21.33586 > 192.168.10.1.http: Flaggen [.], cksum 0x94e2 (korrekt), seq 1, ack 1, win 63, options [nop,nop,TS val 389882297 ecr 30996070], Länge 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, Offset 0, Flags [DF], proto TCP (6), Länge 481)
HTTP-Anfragen…
192.168.10.21.33586 > 192.168.10.1.http: Flaggen [P.], cksum 0x9e5d (korrekt), seq 1:430, ack 1, win 63, options [nop,nop,TS val 389882297 ecr 30996070], Länge 429: HTTP, Länge: 429GET / HTTP/1.1
Gastgeber: 192.168.10.1
Benutzer-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Akzeptieren: Text/html,Anwendung/xhtml+xml,Anwendung/xml;q=0.9,Bild/Webp,*/*;q=0.8
Akzeptieren-Sprache: en-US,en;q=0.5
Akzeptieren-Kodierung: gzip, deflate
DNT: 1
Verbindung: Keep-Alive
Cookie: _TESTCOOKIESUPPORT=1; SID=c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Upgrade-Unsichere-Anfragen: 1
Und Antworten werden auch erfasst
192.168.10.1.http > 192.168.10.21.33586: Flaggen [P.], cksum 0x84f8 (korrekt), seq 1:523, ack 430, win 1944, options [nop,nop,TS val 30996179 ecr 389882297], Länge 522: HTTP, Länge: 522HTTP/1.1 200 OK
Server: ZTE-Webserver 1.0 ZTE corp 2015.
Akzeptieren-Bereiche: Bytes
Verbindung: schließen
X-Frame-Optionen: SAMEORIGIN
Cache-Steuerung: No-Cache, No-Store
Inhaltslänge: 138098
Set-Cookie: _TESTCOOKIESUPPORT=1; PFAD=/; Nur HTTP
Inhaltstyp: Text/html; Zeichensatz=utf-8
X-Content-Type-Optionen: nosniff
Content-Security-Policy: Frame-Vorfahren 'self' 'unsafe-inline' 'unsafe-eval';img-src 'self' data:;
X-XSS-Schutz: 1; Modus=blockieren
Set-Cookie: SID=;expires=Do, 01-Jan-1970 00:00:00 GMT;path=/; Nur HTTP
TCP
Um reine TCP-Pakete zu erfassen, wird dieser Befehl alles Gute tun:
$ sudo tcpdump -i wlan0 tcptcpdump: Abhören auf wlan0, Link-Typ EN10MB (Ethernet), Snapshot-Länge 262144 Byte
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, Offset 0, Flags [keine], proto TCP (6), Länge 104)
tl-in-f189.1e100.Netz.https > 192.168.10.16.50272: Flaggen [P.], cksum 0xc924 (korrekt), seq 1377740065:1377740117, ack 1546363399, win 300, Optionen [nop,nop,TS val 13149401 ecr 3051434098], Länge 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, Offset 0, Flags [DF], proto TCP (6), Länge 52)
192.168.10.16.50272 > tl-in-f189.1e100.Netz.https: Flaggen [.], cksum 0xf898 (korrekt), seq 1, ack 52, win 63, options [nop,nop,TS val 3051461952 ecr 13149401], Länge 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, Offset 0, Flags [DF], proto TCP (6), Länge 88)
192.168.10.16.50272 > tl-in-f189.1e100.Netz.https: Flaggen [P.], cksum 0x2531 (korrekt), seq 1:37, ack 52, win 63, options [nop,nop,TS val 3051463260 ecr 13149401], Länge 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, Offset 0, Flags [DF], proto TCP (6), Länge 88)
192.168.10.16.50434 > hkg12s18-in-f14.1e100.Netz.https: Flaggen [P.], cksum 0xb21e (korrekt), seq 328391782:328391818, ack 3599854191, win 63, Optionen [nop,nop,TS val 3656137742 ecr 2564108387], Länge 36
4 Pakete erfasst
4 Pakete vom Filter empfangen
0 Pakete vom Kernel verworfen
Normalerweise führt die TCP-Paketerfassung zu viel Verkehr; Sie können Ihre Anforderungen im Detail spezifizieren, indem Sie dem Capture Filter hinzufügen, wie zum Beispiel:
Hafen
Gibt den zu überwachenden Port an
Quell-IP
So zeigen Sie Pakete von einer bestimmten Quelle an
Ziel-IP
So zeigen Sie Pakete an ein bestimmtes Ziel an
Paketerfassung in Dateien speichern
Um die Paketerfassung für eine spätere Analyse zu speichern, können wir die Option -w von tcpdump verwenden, die einen Dateinamensparameter erfordert. Diese Dateien werden in einem pcap-Dateiformat (Paketerfassung) gespeichert, das zum Speichern oder Senden von Paketerfassungen verwendet werden kann.
Beispielsweise:
$ sudo tcpdumpWir können Filter hinzufügen, um TCP-, UDP- oder ICMP-Pakete usw. zu erfassen.
Paketerfassung aus Dateien lesen
Leider können Sie die gespeicherte Datei nicht über gängige Befehle zum Lesen von Dateien wie cat usw. lesen. Die Ausgabe ist alles andere als Kauderwelsch, und es ist schwer zu sagen, was in der Datei enthalten ist. '-r' wird verwendet, um die im gespeicherten Pakete zu lesen .pcap-Datei, die zuvor von '-w' oder einer anderen Software gespeichert wurde, die pcaps speichert:
$ sudo tcpdump -rDies druckt die gesammelten Daten von erfassten Paketen auf dem Terminalbildschirm in einem lesbaren Format the.
Tcpdump-Spickzettel
Tcpdump kann mit anderen Linux-Befehlen wie grep, sed usw. verwendet werden., um nützliche Informationen zu extrahieren. Hier sind einige nützliche Kombinationen und Schlüsselwörter, die mit tcpdump verwendet werden, um wertvolle Informationen zu erhalten.
Extrahieren Sie HTTP-Benutzeragenten:
$ sudo tcpdump -n | grep "Benutzer-Agent:"Die über HTTP angeforderten URLs können mit tcpdump überwacht werden, wie zum Beispiel:
$ sudo tcpdump -v -n | egrep -i "POST / |GET / |Host:"Du kannst auch Extrahieren Sie HTTP-Passwörter in POST-Anfragen
$ sudo tcpdump -nn -l | egrep -i "POST /|pwd=|passwd=|passwort=|Host:"Server- oder clientseitige Cookies können extrahiert werden mit:
$ sudo tcpdump -n | egrep -i 'Setze-Cookie|Host:|Cookie:'Erfassen Sie DNS-Anfragen und -Antworten, indem Sie Folgendes verwenden:
$ sudo tcpdump -i wlp58s0 -s0 Port 53Drucken Sie alle Klartext-Passwörter aus:
$ sudo tcpdump port http oder port ftp oder port smtp oder port imap oder port pop3 oder port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|user |username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:| Einloggen:|passen 'Gängige TCPdump-Filter
- -EIN Zeigt Pakete im ASCII-Format an.
- -c Anzahl der zu erfassenden Pakete.
- -Anzahl Paketzähler nur drucken, wenn eine erfasste Datei gelesen wird.
- -e Drucken von MAC-Adressen und Headern auf Link-Ebene.
- -h oder -hilfe Druckt Versions- und Nutzungsinformationen.
- -Ausführung Nur die Versionsinformationen anzeigen.
- -ich Geben Sie die Netzwerkschnittstelle für die Aufnahme an capture.
- -K Verhindern Sie Versuche, die Prüfsummen jedes Pakets zu überprüfen. Fügt Geschwindigkeit hinzu.
- -ich
Zu verwendendes Modul angeben. - -nein Konvertieren Sie keine Adressen (i.e., Hostadressen, Portnummern usw.) zu Namen.
- -Nummer Drucken Sie eine optionale Paketnummer am Anfang jeder Zeile.
- -p Verbieten Sie, dass die Schnittstelle in den promiskuitiven Modus wechselt going.
- -Q Wählen Sie die Richtung für die zu erfassenden Pakete. Senden oder empfangen.
- -q Leise/Schnelle Ausgabe. Drucke Weniger Informationen. Ausgänge sind kürzer.
- -r
Wird verwendet, um Pakete von einem pcap zu lesen . - -t Drucken Sie keinen Zeitstempel in jede Dump-Zeile.
- -v Druckt weitere Informationen zur Ausgabe aus.
- -w
Schreiben Sie die Rohpakete in eine Datei. - -x Druckt ASCII-Ausgabe.
- -X Druckt ASCII mit Hex.
- -Listen-Schnittstellen Zeigt alle verfügbaren Netzwerkschnittstellen an, an denen Pakete von tcpdump erfasst werden können.
Einstellung
Tcpdump ist ein sehr weit verbreitetes Werkzeug, das in der Forschung und Anwendung von Sicherheit/Netzwerken verwendet wird. Der einzige Nachteil von tcpdump hat 'Keine GUI', aber es ist zu gut, um aus den Top-Charts herausgehalten zu werden. Wie Daniel Miessler schreibt: „Protokollanalysatoren wie Wireshark sind großartig, aber wenn Sie Packet-Fu wirklich beherrschen wollen, müssen Sie zuerst eins mit tcpdump werden.”
