ലിനക്സിൽ നെറ്റ്വർക്ക് പാക്കറ്റുകൾ വിശകലനം ചെയ്യുകയോ തടയുകയോ ചെയ്താൽ, ഇതിനു് കൺസോൾ യൂട്ടിലിറ്റി ഉപയോഗിയ്ക്കുന്നതു് നല്ലതാണു്. tcpdump. എന്നാൽ പ്രശ്നം അതിന്റെ സങ്കീർണമായ മാനേജ്മെൻറിൽ ഉയർന്നുവരുന്നു. ഒരു സാധാരണ ഉപയോക്താവിനൊപ്പം പ്രവർത്തിക്കാൻ ഇത് അത്ര എളുപ്പമല്ലെന്ന് തോന്നാം, എന്നാൽ ഇത് ഒറ്റ നോട്ടത്തിൽ മാത്രമാണ്. Tcpdump എങ്ങനെയാണ് സംഘടിപ്പിക്കാറുള്ളത്, ഏത് സിന്റാക്സ്, എങ്ങിനെയാണ് ഉപയോഗിക്കേണ്ടത്, അതിന്റെ ഉപയോഗത്തിന്റെ അനവധി ഉദാഹരണങ്ങൾ എന്നിവയെക്കുറിച്ച് ലേഖനം വിശദീകരിക്കും.
ഉബുണ്ടു, ഡെബിയൻ, ഉബുണ്ടു സെർവീസ് എന്നിവയിൽ ഇന്റർനെറ്റ് കണക്ഷൻ സ്ഥാപിക്കുന്നതിനുള്ള ട്യൂട്ടോറിയലുകൾ
ഇൻസ്റ്റാളേഷൻ
ലിനക്സ് ഓപ്പറേറ്റിങ് സിസ്റ്റങ്ങളുടെ മിക്ക ഡവലപ്പർമാരും മുൻകൂട്ടി ഇൻസ്റ്റോൾ ചെയ്തിട്ടുള്ള ലിസ്റ്റിലെ tcpdump യൂട്ടിലിറ്റി, എന്നാൽ ചില കാരണങ്ങളാൽ നിങ്ങളുടെ വിതരണത്തിൽ ഇല്ലെങ്കിൽ, നിങ്ങൾക്ക് എല്ലായ്പ്പോഴും ഇതു ഡൌൺലോഡ് ചെയ്ത് ഇൻസ്റ്റാൾ ചെയ്യാം. "ടെർമിനൽ". നിങ്ങളുടെ ഓപൺ ഡെബിയനിൽ അടിസ്ഥാനമാക്കിയാണെങ്കിൽ ഉബുണ്ടു, ലിനക്സ് മിന്റ്, കാളി ലിനക്സ്, തുടങ്ങിയവയൊക്കെ ഈ കമാൻഡ് പ്രവർത്തിപ്പിക്കേണ്ടതുണ്ട്:
sudo ആപ്റ്റ് tcpdump ഇൻസ്റ്റോൾ ചെയ്യുക
ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ നിങ്ങൾ ഒരു പാസ്വേഡ് നൽകേണ്ടതുണ്ട്. ടൈപ്പ് ചെയ്യുമ്പോൾ അത് കാണിക്കാതെയും ഇൻസ്റ്റാളേഷൻ സ്ഥിരീകരിക്കുന്നതിനും നിങ്ങൾ പ്രതീകം നൽകണം "D" അമർത്തുക നൽകുക.
Red Hat, ഫെഡോറ അല്ലെങ്കിൽ സെന്റോസ് ഉണ്ടെങ്കിൽ, ഇൻസ്റ്റലേഷൻ കമാൻഡ് ഇങ്ങനെയിരിക്കും:
sudo yam tcpdump ഇൻസ്റ്റോൾ ചെയ്യുക
പ്രയോഗം ഇൻസ്റ്റോൾ ചെയ്ത ശേഷം, ഉടൻ തന്നെ അത് ഉപയോഗിയ്ക്കാം. ഇത് പിന്നീട് കൂടുതൽ വായിക്കുകയും ചെയ്യും.
ഇത് കാണുക: ഉബുണ്ടു സെർവറിന്റെ പിഎച്ച്ഇ ഘടകം
സിന്റാക്സ്
മറ്റേതൊരു കമാന്ഡിനേയും പോലെ, tcpdump- ന് സ്വന്തമായ സിന്റാക്സ് ഉണ്ട്. അവനെ അറിഞ്ഞു്, കമാൻഡ് നടപ്പിലാക്കുമ്പോൾ അക്കൌണ്ടിലേക്കു് ആവശ്യമായ എല്ലാ പരാമീറ്ററുകളും നിങ്ങൾക്കു് സജ്ജമാക്കാം. വാക്യഘടന ഇതാണ്:
tcpdump ഐച്ഛികങ്ങൾ -ഐഇ ഇന്റർഫെയിസ് അരിപ്പകൾ
കമാൻഡ് ഉപയോഗിക്കുമ്പോൾ, ട്രാക്ക് ചെയ്യുന്നതിന് ഇന്റർഫേസ് നിങ്ങൾ നൽകണം. ഫിൽട്ടറുകളും ഓപ്ഷനുകളും നിർബന്ധിത വേരിയബിളുകൾ അല്ലെങ്കിലും, കൂടുതൽ ഇഷ്ടാനുസൃത കോൺഫിഗറേഷൻ അനുവദിക്കുന്നു.
ഓപ്ഷനുകൾ
ഈ ഐച്ഛികം വ്യക്തമാക്കുന്നതിനു് ആവശ്യമില്ലെങ്കിലും ലഭ്യമായ പട്ടികകൾ ലഭ്യമാക്കേണ്ടത് ആവശ്യമാണു്. പട്ടിക അവരുടെ മുഴുവൻ പട്ടികകളും കാണിക്കുന്നില്ല, എന്നാൽ ഏറ്റവും ജനപ്രീതിയുള്ളവ മാത്രം, എന്നാൽ അവ മിക്ക ടാസ്ക്കുകളും പരിഹരിക്കുന്നതിന് മാത്രം മതിയാകും.
ഓപ്ഷൻ | നിർവ്വചനം |
---|---|
-എ | ASCII ഫോർമാറ്റിലുള്ള പൊതികൾ ക്രമീകരിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു |
-l | ഒരു സ്ക്രോൾ ഫംഗ്ഷൻ ചേർക്കുന്നു. |
-i | പ്രവേശിച്ചതിനുശേഷം നിങ്ങൾ നിരീക്ഷിക്കപ്പെടുന്ന നെറ്റ്വർക്ക് ഇന്റർഫേസ് വ്യക്തമാക്കേണ്ടതുണ്ട്. എല്ലാ ഇന്റർഫെയിസുകളും ട്രാക്കുചെയ്യാൻ ആരംഭിക്കുന്നതിന്, "ഏതെങ്കിലും" ഓപ്ഷൻ ശേഷം ഐച്ഛികം നൽകുക. |
-c | ഒരു നിശ്ചിത എണ്ണം പാക്കേജുകൾ പരിശോധിച്ച ശേഷം ട്രാക്കിങ് പ്രക്രിയ പൂർത്തിയാക്കുന്നു. |
-w | പരിശോധിച്ചുറപ്പിക്കൽ റിപ്പോർട്ടിനൊപ്പം ഒരു ടെക്സ്റ്റ് ഫയൽ സൃഷ്ടിക്കുന്നു. |
-e | ഡാറ്റ പാക്കറ്റിലെ ഇന്റർനെറ്റ് കണക്ഷൻ നില കാണിക്കുന്നു. |
-L | വ്യക്തമാക്കിയ നെറ്റ്വർക്ക് ഇന്റർഫേസ് പിന്തുണയ്ക്കുന്ന ആ പ്രോട്ടോക്കോളുകൾ മാത്രം പ്രദർശിപ്പിക്കുന്നു. |
-C | ഒരു പാക്കേജിനു് അതിന്റെ വലിപ്പം വളരെ വലുതാണെങ്കിൽ മറ്റൊന്നു് തയ്യാറാക്കുന്നു. |
-ആർ | -W ഓപ്ഷൻ ഉപയോഗിച്ച് സൃഷ്ടിക്കപ്പെട്ട ഒരു ഫയൽ തുറക്കുന്നു. |
-j | റെക്കോഡിംഗ് പാക്കേജുകൾക്കു് ടൈംസ്റ്റാമ്പ് ഫോർമാറ്റ് ഉപയോഗിയ്ക്കുന്നു. |
-J | ലഭ്യമായ എല്ലാ ഫോർമാറ്റുകളെയും TimeStamp കാണുവാൻ അനുവദിക്കുന്നു |
-G | ലോഗുകളുമായി ഒരു ഫയൽ സൃഷ്ടിക്കാൻ ഉപയോഗിച്ചു. ഈ ഐച്ഛികത്തിന് താൽക്കാലിക മൂല്യവും ആവശ്യമാണ്, അതിനുശേഷം ഒരു പുതിയ ലോഗ് ഉണ്ടാകും |
-v, -vv, -vvv | ഐച്ഛികത്തിലെ പ്രതീകങ്ങളുടെ എണ്ണം അനുസരിച്ച്, ആജ്ഞയുടെ ഉത്പാദനം കൂടുതൽ വിശദമായിത്തീരും (വർദ്ധനവ് പ്രതീകങ്ങളുടെ എണ്ണം അനുപാതമാണ്) |
-f | ഔട്ട്പുട്ട് IP വിലാസത്തിന്റെ ഡൊമെയ്ൻ നാമം കാണിക്കുന്നു |
-F | നെറ്റ്വർക്ക് ഇന്റർഫെയിസിൽ നിന്നുമല്ല, പക്ഷേ ഒരു നിശ്ചിത ഫയലിൽ നിന്ന് വായിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു |
-D | ഉപയോഗിക്കാവുന്ന എല്ലാ നെറ്റ്വർക്ക് ഇന്റർഫെയിസുകളും അവതരിപ്പിക്കുന്നു. |
-n | ഡൊമെയ്ൻ പേരുകളുടെ പ്രദർശനം നിഷ്ക്രിയമാക്കുക |
-Z | എല്ലാ ഫയലുകളും സൃഷ്ടിക്കുന്ന അക്കൌണ്ടിന്റെ ഉപയോക്താവിനെ വ്യക്തമാക്കുന്നു. |
-കെ | ചെക്ക്സം അനാലിസിസ് ഒഴിവാക്കുക |
-q | ഹ്രസ്വമായ വിവരങ്ങളുടെ അവതരണം |
-H | 802.11s ശീർഷകങ്ങൾ കണ്ടെത്തുക |
- ഞാൻ | മോണിറ്ററ് മോഡിൽ പാക്കറ്റുകൾ ലഭ്യമാക്കുമ്പോൾ ഉപയോഗിയ്ക്കുന്നു. |
ഓപ്ഷനുകൾ പരിശോധിച്ചതിനുശേഷം, ഞങ്ങൾ അവരുടെ അപ്ലിക്കേഷനുകളിലേക്ക് നേരിട്ട് തിരിക്കുകയാണ്. ഇതിനിടയിൽ, ഫിൽട്ടറുകൾ പരിഗണിക്കപ്പെടും.
ഫിൽട്ടറുകൾ
ലേഖനത്തിന്റെ തുടക്കത്തിൽ സൂചിപ്പിച്ചതുപോലെ, നിങ്ങൾക്ക് tcpdump സിന്റാക്സിലേക്ക് ഫിൽട്ടറുകൾ ചേർക്കാൻ കഴിയും. ഇപ്പോൾ ഏറ്റവും പ്രശസ്തമായത് പരിഗണിക്കപ്പെടും:
ഫിൽറ്റർ ചെയ്യുക | നിർവ്വചനം |
---|---|
ഹോസ്റ്റ് | ഹോസ്റ്റ് നാമം വ്യക്തമാക്കുന്നു. |
വല | IP സബ്നെറ്റും നെറ്റ്വർക്കും വ്യക്തമാക്കുന്നു |
ip | പ്രോട്ടോക്കോൾ വിലാസം വ്യക്തമാക്കുന്നു |
src | നിർദ്ദിഷ്ട വിലാസത്തിൽ നിന്നും അയച്ച പാക്കറ്റുകൾ പ്രദർശിപ്പിക്കുന്നു |
dst | നിർദ്ദിഷ്ട വിലാസത്തിൽ ലഭിച്ച പാക്കറ്റുകൾ പ്രദർശിപ്പിക്കുന്നു. |
arp, udp, tcp | പ്രോട്ടോകോളുകളിലൊരെ ഫിൽട്ടർ ചെയ്യുന്നു |
പോർട്ട് | ഒരു പ്രത്യേക പോർട്ടുമായി ബന്ധപ്പെട്ട വിവരങ്ങൾ പ്രദർശിപ്പിക്കുന്നു. |
ഒപ്പം, അല്ലെങ്കിൽ | ഒരു ആജ്ഞയിൽ ഒന്നിലധികം ഫിൽട്ടറുകൾ സംയോജിപ്പിക്കാൻ ഉപയോഗിക്കുന്നു. |
കുറവ്, കൂടുതൽ | നിർദ്ദിഷ്ട വലിപ്പത്തേക്കാൾ ചെറുതോ വലുതോ ഉള്ള ഔട്ട്പുട്ട് പാക്കേജുകൾ |
മുകളിലുള്ള എല്ലാ ഫിൽറ്ററുകളും പരസ്പരം സംയോജിപ്പിക്കാം, അതിനാൽ ഒരു കമാൻഡ് നൽകുന്നതിലൂടെ നിങ്ങൾ കാണാൻ ആഗ്രഹിക്കുന്ന വിവരങ്ങൾ മാത്രമേ നിങ്ങൾ നിരീക്ഷിക്കുകയുള്ളൂ. മുകളിലുള്ള ഫിൽട്ടറുകളുടെ ഉപയോഗം കൂടുതൽ വിശദമായി മനസിലാക്കുന്നതിന്, ഉദാഹരണങ്ങൾ നൽകുന്നത് വിലമതിക്കുന്നതാണ്.
ലിനക്സ് ടെർമിനലിൽ പതിവായി ഉപയോഗിച്ചിരിക്കുന്ന കമാൻഡുകളും കാണുക
ഉപയോഗത്തിനുള്ള ഉദാഹരണങ്ങൾ
സാധാരണയായി ഉപയോഗിയ്ക്കുന്ന tcpdump സിന്റക്സ് ഐച്ഛികങ്ങൾ ഇപ്പോൾ ലഭ്യമാക്കപ്പെടുന്നു. അവയെല്ലാം ലിസ്റ്റുചെയ്യാൻ കഴിയില്ല, കാരണം അവരുടെ വ്യതിയാനങ്ങൾ അനന്തമായിരിക്കാം.
ഇന്റർഫേസ് ലിസ്റ്റ് കാണുക
ഓരോ യൂസേർക്കും ആദ്യം കണ്ടുപിടിക്കാൻ സാധിക്കുന്ന എല്ലാ നെറ്റ്വർക്ക് ഇന്റർഫെയിസുകളുടേയും പട്ടിക പരിശോധിക്കേണ്ടതാണു്. മുകളിലുള്ള പട്ടികയിൽ നിന്ന് നിങ്ങൾക്ക് ഈ ഓപ്ഷൻ ഉപയോഗിക്കേണ്ടതുണ്ടെന്ന് ഞങ്ങൾക്ക് അറിയാം -Dഅതിനാൽ ടെർമിനലിൽ താഴെ പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:
sudo tcpdump -D
ഉദാഹരണം:
നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, ഉദാഹരണത്തിന് എട്ട് ഇൻററ്ഫെയിസുകളും tcpdump കമാൻഡ് ഉപയോഗിച്ച് കാണാൻ സാധിക്കുന്നു. ലേഖനങ്ങളുടെ ഉദാഹരണങ്ങൾ നൽകും ppp0നിങ്ങൾക്ക് മറ്റേതെങ്കിലും ഉപയോഗിക്കാം.
സാധാരണ ട്രാഫിക് ക്യാപ്ചർ
നിങ്ങൾ ഒരു നെറ്റ്വറ്ക്ക് ഇൻററ്ഫെയിസ് ട്രാക്ക് ചെയ്യണമെങ്കിൽ, നിങ്ങൾക്ക് ഇത് ഓപ്ഷൻ ഉപയോഗിച്ച് ചെയ്യാം -i. പ്രവേശനത്തിനു ശേഷം ഇന്റർഫേസ് നാമം നൽകുവാൻ മറക്കരുത്. അത്തരമൊരു കമാൻഡ് നടപ്പിലാക്കുന്നതിനുള്ള ഒരു ഉദാഹരണം ഇതാ:
sudo tcpdump -i ppp0
ദയവായി ഓർക്കുക: കമാന്ഡിനു മുമ്പായി നിങ്ങൾ "sudo" ൽ എന്റർ ചെയ്യണം, കാരണം സൂപ്പർ സൂപ്പറിന്റെ അവകാശം ആവശ്യമാണ്.
ഉദാഹരണം:
ശ്രദ്ധിക്കുക: "ടെർമിനൽ" എന്റർ അമർത്തിയ ശേഷം, തടസ്സപ്പെട്ട പാക്കറ്റുകൾ നിരന്തരം പ്രദർശിപ്പിക്കും. അവയുടെ ഒഴുക്കി നിർത്താൻ, നിങ്ങൾ Ctrl + C. കീ കോമ്പിനേഷൻ അമർത്തേണ്ടതുണ്ട്.
അധികമായ ഐച്ഛികങ്ങളും ഫിൽട്ടറുകളും കൂടാതെ നിങ്ങൾ കമാൻഡ് പ്റവറ്ത്തിക്കുന്നു എങ്കിൽ, ട്രാക്ക് ചെയ്ത പാക്കറ്റുകൾ ലഭ്യമാക്കുന്നതിനുള്ള താഴെ കാണിച്ചിരിക്കുന്ന ശൈലി നിങ്ങൾ കാണും:
22: 18: 52.597573 IP vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: പതാകകൾ [P.], സെക് 1: 595, ack 1118, 6494, ഓപ്ഷനുകൾ [നോപ്പ്, നോപ്പ്, ടിഎസ് മൂല്യം 257060077 ecr 697597623], ദൈർഘ്യം 594
ഇവിടെ വർണ്ണം ഹൈലൈറ്റ് ചെയ്തു:
- നീല - പാക്കേജിന്റെ രസീതിന്റെ സമയം;
- ഓറഞ്ച് - പ്രോട്ടോക്കോൾ പതിപ്പ്;
- ഗ്രീൻ - അയച്ചയാളുടെ വിലാസം;
- ധൂമ്രനൂൽ - സ്വീകർത്താവിന്റെ വിലാസം;
- ഗ്രേ - tcp- യെ കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾ
- ചുവപ്പ് - പാക്കറ്റ് വലുപ്പം (ബൈറ്റുകളിൽ പ്രദർശിപ്പിച്ചിരിക്കുന്നു).
ഈ സിന്റാക്സിന് ജാലകത്തിൽ ഔട്ട്പുട്ട് ചെയ്യാനുള്ള കഴിവുണ്ട് "ടെർമിനൽ" അധിക ഓപ്ഷനുകൾ ഉപയോഗിക്കാതെ.
-V ഐച്ഛികം ഉപയോഗിച്ചു് ട്രാഫിക്ക് എടുക്കുക
പട്ടികയിൽ നിന്ന് അറിയാവുന്നതുപോലെ -v വിവരങ്ങളുടെ അളവ് വർദ്ധിപ്പിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. നമുക്കൊരു ഉദാഹരണം നോക്കാം. ഒരേ ഇൻറർഫേസ് പരിശോധിക്കുക:
sudo tcpdump -v -i ppp0
ഉദാഹരണം:
ഔട്ട്പുട്ടിൽ താഴെ കാണിച്ചിരിയ്ക്കുന്ന വരി ഇവിടെ കാണാം:
IP (tos 0x0, ttl 58, id 30675, ഓഫ്സെറ്റ് 0, ഫ്ലാഗുകൾ [DF], പ്രോട്ടോ TCP (6), ദൈർഘ്യം 52
ഇവിടെ വർണ്ണം ഹൈലൈറ്റ് ചെയ്തു:
- ഓറഞ്ച് - പ്രോട്ടോക്കോൾ പതിപ്പ്;
- നീല - പ്രോട്ടോക്കോൾ ജീവൻ;
- പച്ച - ഫീൽഡ് ഹെഡ്ഡറിന്റെ ദൈർഘ്യം;
- പർപ്പിൾ - tcp പാക്കേജിന്റെ പതിപ്പു്;
- ചുവപ്പ് - പാക്കറ്റ് വലുപ്പം.
കമാൻഡ് സിന്റാക്സിൽ നിങ്ങൾക്ക് ഓപ്ഷൻ എഴുതാം -vv അല്ലെങ്കിൽ -vvvസ്ക്രീനില് ദൃശ്യമാകുന്ന വിവരങ്ങളുടെ അളവ് കൂടുതല് വര്ദ്ധിപ്പിക്കും.
-W, -r ഓപ്ഷൻ
എല്ലാ ഔട്ട്പുട്ട് ഡാറ്റകളും ഒരു പ്രത്യേക ഫയലിൽ സംരക്ഷിക്കുന്നതിനുള്ള സാധ്യതയെ ഓപ്ഷനുകൾ പട്ടിക സൂചിപ്പിക്കുന്നു, അങ്ങനെ അവ പിന്നീട് കാണാൻ കഴിയും. ഈ ഓപ്ഷൻ ഇതിന് ഉത്തരവാദിത്തമാണ്. -w. ഇത് ഉപയോഗിക്കാൻ വളരെ ലളിതമാണ്, അത് കമാൻഡിൽ എന്റർ ചെയ്ത് എക്സ്റ്റൻഷനൊപ്പം ഭാവി ഫയലുകളുടെ പേര് നൽകുക ".pcap". എല്ലാ ഉദാഹരണവും പരിഗണിക്കുക:
sudo tcpdump -i ppp0 -w file.pcap
ഉദാഹരണം:
ശ്രദ്ധിക്കുക: ഒരു ഫയലിലേക്ക് ലോഗുകൾ എഴുതുന്ന സമയത്ത്, "ടെർമിനൽ" സ്ക്രീനിൽ ടെക്സ്റ്റ് കാണിക്കില്ല.
റെക്കോർഡ് ഔട്ട്പുട്ട് കാണണമെങ്കിൽ, നിങ്ങൾ ഓപ്ഷൻ ഉപയോഗിക്കേണ്ടതുണ്ട് -ആർഇതിനു മുമ്പ് രേഖപ്പെടുത്തപ്പെട്ട ഫയലിന്റെ പേര്. മറ്റ് ഓപ്ഷനുകളും ഫിൽട്ടറുകളും ഇല്ലാതെ ഇത് പ്രയോഗിക്കുന്നു:
sudo tcpdump -r file.pcap
ഉദാഹരണം:
തുടർന്നുള്ള വിശകലനത്തിനായി വലിയ അളവിലുള്ള വാചകം സംരക്ഷിക്കേണ്ട സാഹചര്യങ്ങളിൽ ഈ ഓപ്ഷനുകൾ മികച്ചതാണ്.
IP ഫിൽട്ടറിംഗ്
ഫിൽറ്റർ ടേബിളിൽ നിന്നും നമുക്കറിയാം dst കമാൻഡ് സിന്റാക്സിൽ നൽകിയിരിക്കുന്ന വിലാസത്തിൽ നിന്നും ലഭിച്ച പൊതികൾ മാത്രമേ കൺസോൾ സ്ക്രീനിൽ പ്രദർശിപ്പിക്കുവാൻ അനുവദിയ്ക്കുന്നു. അതിനാൽ നിങ്ങളുടെ കമ്പ്യൂട്ടറിലുള്ള പാക്കറ്റുകൾ കാണുന്നത് വളരെ എളുപ്പമാണ്. ഇത് ചെയ്യുന്നതിന്, ടീം നിങ്ങളുടെ IP വിലാസം വ്യക്തമാക്കേണ്ടതുണ്ട്:
sudo tcpdump -i ppp0 ip dst 10.0.6.67
ഉദാഹരണം:
നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ dstടീമിൽ ഞങ്ങൾ ഫിൽറ്റർ രജിസ്റ്റർ ചെയ്യുകയും ചെയ്തു ip. മറ്റു വാക്കുകളിൽ പറഞ്ഞാൽ, കമ്പ്യൂട്ടറുകൾ ഞങ്ങൾ പാക്കറ്റ് തിരഞ്ഞെടുക്കുമ്പോൾ, അവരുടെ IP വിലാസം ശ്രദ്ധാപൂർവ്വം ശ്രദ്ധിക്കുകയും മറ്റേതെങ്കിലും കാര്യങ്ങളല്ല എന്നു ഞങ്ങൾ കമ്പ്യൂട്ടർ ആവശ്യപ്പെട്ടു.
IP മുഖേന നിങ്ങൾക്ക് പാക്കറ്റുകൾ ഫിൽട്ടർ ചെയ്യുകയും അയയ്ക്കുകയും ചെയ്യാം. ഉദാഹരണമായി നമ്മുടെ ഐപി വീണ്ടും നൽകും. അതായത്, നമ്മുടെ കമ്പ്യൂട്ടറിൽ നിന്ന് മറ്റ് വിലാസങ്ങളിലേക്ക് അയച്ച പാക്കറ്റുകൾ ട്രാക്ക് ചെയ്യും. ഇതിനായി, താഴെ പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:
sudo tcpdump -i ppp0 ip src 10.0.6.67
ഉദാഹരണം:
നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, നമ്മൾ ഫിൽട്ടർ കമാൻഡ് സിന്റാക്സിൽ മാറ്റുന്നു. dst ഓണാണ് srcഅതുവഴി അയച്ചയാളെ ഐ.പി. വഴി തിരയാൻ യന്ത്രത്തോട് പറയുന്നു.
HOST ഫിൽട്ടർ ചെയ്യുന്നു
ടീമിലെ IP മാറിയാൽ നമുക്ക് ഒരു ഫിൽറ്റർ നൽകാം ഹോസ്റ്റ്താത്പര്യമുള്ള ഹോസ്റ്റലുകളിൽ പാക്കറ്റുകൾ വിടുകയും ചെയ്യും. അതായത് അയയ്ക്കുന്നയാൾ / സ്വീകർത്താവിന്റെ ഐ പി വിലാസത്തിനുപകരം, നിങ്ങൾ അതിന്റെ ഹോസ്റ്റ് വ്യക്തമാക്കേണ്ടതുണ്ട്. ഇത് ഇതുപോലെ കാണപ്പെടുന്നു:
sudo tcpdump -i ppp0 dst host google-public-dns-a.google.com
ഉദാഹരണം:
ചിത്രത്തിൽ അത് നിങ്ങൾക്ക് കാണാനാകും "ടെർമിനൽ" ഞങ്ങളുടെ IP യിൽ നിന്നും google.com ഹോസ്റ്റിലേക്ക് അയയ്ക്കുന്ന പാക്കറ്റുകൾ മാത്രമേ പ്രദർശിപ്പിക്കുകയുള്ളൂ. നിങ്ങൾക്ക് കാണാൻ കഴിയുന്നതുപോലെ, Google ഹോസ്റ്റിനേക്കാൾ, നിങ്ങൾക്ക് മറ്റൊന്നും നൽകാനാവില്ല.
IP ഫിൽട്ടറിംഗ് പോലെ, സിന്റാക്സ് ഇതാണ്: dst പകരം ഉപയോഗിക്കാനാകും srcനിങ്ങളുടെ കമ്പ്യൂട്ടറിലേക്ക് അയയ്ക്കുന്ന പാക്കറ്റുകൾ കാണാൻ:
sudo tcpdump -i ppp0 src ഹോസ്റ്റ് google-public-dns-a.google.com
കുറിപ്പ്: dst അല്ലെങ്കിൽ src- യ്ക്ക് ശേഷം ഹോസ്റ്റ് ഫിൽറ്റർ ആയിരിക്കണം, അല്ലെങ്കിൽ കമാൻഡ് ഒരു പിശക് ഉണ്ടാക്കുന്നു. IP ഫിൽട്ടറിംഗ് കാര്യത്തിൽ, നേരെമറിച്ച്, dst, src ip ഫിൽട്ടറിനു മുന്നിലുണ്ട്.
ഫിൽറ്റർ, അല്ലെങ്കിൽ
ഒന്നിൽ കൂടുതൽ ഫിൽട്ടറുകൾ ഒരേയൊരു കമാൻഡിൽ ഉപയോഗിക്കേണ്ടതാണെങ്കിൽ നിങ്ങൾ ഒരു ഫിൽറ്റർ ഉപയോഗിക്കേണ്ടതുണ്ട്. ഒപ്പം അല്ലെങ്കിൽ അല്ലെങ്കിൽ (കേസ് ആശ്രയിച്ചിരിക്കും). സിന്റാക്സിലെ ഫിൽറ്ററുകൾ വ്യക്തമാക്കുകയും അവ ഈ പ്രസ്താവനകളുമായി വേർതിരിക്കുകയും ചെയ്യുക വഴി നിങ്ങൾ "സൃഷ്ടിക്കു" പ്രവർത്തിക്കുന്നു. ഒരു ഉദാഹരണത്തിൽ, ഇതുപോലെ കാണപ്പെടുന്നു:
sudo tcpdump -i ppp0 ip dst 95.47.144.254 അല്ലെങ്കിൽ ip src 95.47.144.254
ഉദാഹരണം:
കമാൻഡ് സിന്റാക്സിൽ നിന്നും നിങ്ങൾക്ക് പ്രദർശിപ്പിക്കണം എന്ന് നിങ്ങൾക്കറിയാം "ടെർമിനൽ" 95.47.144.254 എന്ന നമ്പറിലേക്ക് അയച്ചിട്ടുള്ള എല്ലാ പാക്കറ്റുകളും ഒരേ വിലാസത്തിൽ സ്വീകരിച്ച പാക്കറ്റുകൾ. ഈ എക്സ്പ്രെഷനിൽ നിങ്ങൾക്ക് ചില വേരിയബിളുകൾ മാറ്റാം. ഉദാഹരണത്തിന്, ഐപിയുടെ പകരം, HOST നിർദ്ദേശിക്കുക അല്ലെങ്കിൽ വിലാസം സ്വയം മാറ്റിസ്ഥാപിക്കുക.
പോർട്ട് പോർട്രേറ്റും ഫിൽട്ടറുകളും
ഫിൽറ്റർ ചെയ്യുക പോർട്ട് പാക്കറ്റുകൾ ഒരു പ്രത്യേക പോർട്ട് ഉപയോഗിച്ച് നിങ്ങൾക്ക് വിവരങ്ങൾ ആവശ്യമായി വരുമ്പോൾ അത് മികച്ചതാണ്. അതിനാൽ, നിങ്ങൾ മറുപടി അല്ലെങ്കിൽ ഡിഎൻഎസ് അന്വേഷണങ്ങൾ മാത്രം കാണണമെങ്കിൽ, നിങ്ങൾ പോർട്ട് 53:
sudo tcpdump -vv -i ppp0 പോർട്ട് 53
ഉദാഹരണം:
നിങ്ങള്ക്ക് http പാക്കേജുകള് കാണണമെങ്കില്, നിങ്ങള് പോര്ട്ട് 80:
sudo tcpdump -vv -i ppp0 പോർട്ട് 80
ഉദാഹരണം:
മറ്റ് കാര്യങ്ങളിൽ, പോർട്ടുകളുടെ പരിധി ഉടൻ തന്നെ ട്രാക്കുചെയ്യാൻ കഴിയും. ഇത് ചെയ്യുന്നതിന്, ഫിൽട്ടർ പ്രയോഗിക്കുക പോർട്രേഞ്ച്:
sudo tcpdump പോർട്രറണ്ട് 50-80
നിങ്ങൾക്ക് കാണാൻ കഴിയുന്നതുപോലെ, ഫിൽട്ടറിനൊപ്പം പോർട്രേഞ്ച് അധിക ഓപ്ഷനുകൾ വ്യക്തമാക്കേണ്ടതില്ല. ശ്രേണി ക്രമീകരിക്കുക.
പ്രോട്ടോകോൾ ഫിൽട്ടറിംഗ്
നിങ്ങൾക്ക് ഏതൊരു പ്രോട്ടോക്കോളുമായി ബന്ധപ്പെടുന്ന ട്രാഫിക് മാത്രമേ പ്രദർശിപ്പിക്കാൻ കഴിയൂ. ഇതിനായി, ഫിൽട്ടായി ഈ പ്രോട്ടോക്കോൾ നാമം ഉപയോഗിക്കുക. ഒരു ഉദാഹരണം നോക്കാം udp:
സുഡോ tcpdump -vvv -i ppp0 udp
ഉദാഹരണം:
ഇമേജിൽ കാണുന്നത് പോലെ, കമാൻഡ് ഇൻ ചെയ്തു കഴിഞ്ഞാൽ "ടെർമിനൽ" പ്രോട്ടോക്കോൾ മാത്രമുള്ള പാക്കറ്റുകൾ മാത്രമേ പ്രദർശിപ്പിച്ചുള്ളൂ udp. അതനുസരിച്ച്, നിങ്ങൾ മറ്റുള്ളവർ ഫിൽട്ടർ ചെയ്യാൻ കഴിയും, ഉദാഹരണത്തിന്, arp:
സുഡോ tcpdump -vvv -i ppp0 arp
അല്ലെങ്കിൽ tcp:
സുഡോ tcpdump -vvv -i ppp0 tcp
വല ഫിൽറ്റർ ചെയ്യുക
ഓപ്പറേറ്റർ വല അവരുടെ ശൃംഖലയുടെ സ്ഥാനത്ത് അധിഷ്ഠിതമായ പായ്ക്കറ്റുകൾ ഫിൽട്ടർ ചെയ്യാൻ സഹായിക്കുന്നു. ബാക്കിയുള്ളവ ഉപയോഗിക്കാൻ എളുപ്പമാണ് - സിന്റാക്സിൽ ആട്രിബ്യൂട്ട് വ്യക്തമാക്കേണ്ടതുണ്ട് വല, തുടർന്ന് നെറ്റ്വർക്ക് വിലാസം നൽകുക. അത്തരമൊരു കമാന്ഡിന് ഒരു ഉദാഹരണം ഇതാ:
sudo tcpdump -i ppp0 net 192.168.1.1
ഉദാഹരണം:
പാക്കേജ് വലുപ്പം ഉപയോഗിച്ച് ഫിൽട്ടർ ചെയ്യുക
രണ്ട് രസകരമായ ഫിൽട്ടറുകളെ ഞങ്ങൾ പരിഗണിക്കില്ല: കുറവ് ഒപ്പം കൂടുതൽ. ഫിൽട്ടറുകൾക്കൊപ്പം പട്ടികയിൽ നിന്നും, കൂടുതൽ ഡാറ്റാ പാക്കറ്റുകൾ ഔട്ട്പുട്ട് ചെയ്യാൻ അവർക്കറിയാം എന്ന് നമുക്കറിയാം (കുറവ്) അല്ലെങ്കിൽ കുറവ് (കൂടുതൽ) ആട്രിബ്യൂട്ടിന് ശേഷം വ്യക്തമാക്കിയ വലുപ്പം നൽകി.
നമ്മൾ 50 ബിറ്റുകൾ കവിയാത്ത പൊതികളെ നിരീക്ഷിക്കാൻ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, കമാൻഡ് ഇത് ഇങ്ങനെ ചെയ്യും:
sudo tcpdump -i ppp0 കുറവ് 50
ഉദാഹരണം:
ഇപ്പോൾ നമുക്ക് പ്രദർശിപ്പിക്കാം "ടെർമിനൽ" 50 ബിറ്റുകളിൽ കൂടുതലുള്ള പാക്കറ്റുകൾ:
sudo tcpdump -i ppp0 വലിയ 50
ഉദാഹരണം:
നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, അവ തുല്യമായി ഉപയോഗിക്കുന്നു, ഫിൽട്ടറിന്റെ പേരിൽ മാത്രമാണ് വ്യത്യാസം.
ഉപസംഹാരം
ലേഖനത്തിന്റെ അവസാനത്തിൽ നമുക്ക് ടീമിനെ നിർവ്വഹിക്കാൻ കഴിയും tcpdump - ഇന്റർനെറ്റിൽ പര്യവേക്ഷണം ചെയ്യുന്ന ഏതെങ്കിലും ഡാറ്റ പാക്കറ്റ് നിങ്ങൾക്ക് ട്രാക്ക് ചെയ്യാൻ കഴിയുന്ന മികച്ച ഉപകരണമാണിത്. അതിനാല് തന്നെ ഈ കമാന്ഡ്് എന്റേതല്ല "ടെർമിനൽ". നിങ്ങൾ എല്ലാ തരത്തിലുമുള്ള ഉപാധികളും ഫിൽട്ടറുകളും, അതോടൊപ്പം അവയുടെ കൂട്ടിച്ചേർക്കലുകളും ഉപയോഗിച്ചു് മാത്രം ആഗ്രഹിക്കുന്ന ഫലം ലഭിയ്ക്കുന്നു.