Перейти к основному контенту

Пакетные анализаторы трафика

Цель:

Приобрести навыки работы с пакетными анализатороми трафика

Задачи:

  1. Подключится к виртуальной машине на облачной платформе СПбГУТ
  2. Установить tcpdump
  3. Получить навыки работы c tcpdump
  4. Получить навыки работы c SCP
  5. Получить навыки работы с Wireshark
Работа с анализатором пакетов tcpdump

tcpdump -это компьютерная программа анализатор пакетов работающая через интерфейс командной строки. Она позволяет пользователю отображать пакеты, передаваемые или получаемые по сети

Синтаксис tcpdump
tcpdump {опции} -i {название интерфейса} {Фильтры}
опции tcpdump
Ключ опции Что делает
-A Вывод пакетов в кодировке ASCI
-c n перехватить n пакетов
-C n создание дампа трафика определенного размере, при генерации больше заданого создать новый файл для дампа, где n размер пакета по умолчанию указывается 1000000 байт

Добавив к значению суффикс k/K, m/M или g/G, единицу измерения можно изменить на 1,024 (КиБ), 1,048,576 (МиБ) или 1,073,741,824 (ГиБ) соответственно.
-D вывести список сетевых интерфейсов
-e выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса
-n не отображать домены
-K не проверять контрольные суммы пакетов
-w {название дампа}.pcap запись вывода в файл
-r {название дампа}.pcap чтение дампа созданного с помощью ключа -w
-v -vv -vvv Более подробный вывод, желательно устанавливать -vvv, для дальнейшей работы
-q выводить минимум информации
Примеры работы с tcpdump

Просмотр всех интерфейсов

tcpdump -D 

Просмотр всего трафика на интерфейсе eno0 с адресом назначения 8.8.8.8

sudo tcpdump -i eth0 ip dst 8.8.8.8

Просмотр всего трафика на интерфейсе eno0 с адресом отправки 8.8.8.8

sudo tcpdump -i eno0 ip src 8.8.8.8

Просмотр всего трафика на интерфейсе eno0 с доменным именем назначения resds.ru

sudo tcpdump -i eno0 host dst resds.ru

Просмотр всего трафика на интерфейсе eth0 с доменном отправки resds.ru

sudo tcpdump -i eth0 host src resds.ru

Просмотр трафика на интерфейсу eth0 с использованием 80 порта

sudo tcpdump -i eth0 port 80

Просмотр трафика на интерфейсе eth0 использующих диапозон портов 80-443

sudo tcpdump -i eth0 portrange 80-443

Также для некоторых протоколов существуют готовые фильтры к примеру можно отфильтровать все arp пакеты интерфейса eth0

sudo tcpdump -i eth0 arp

Возможно филтрация по размеру пакета, так мы можем отфильтровать все пакеты меньше 64 байт

sudo tcpdump -i eth0 less 64

Фильтрация пакетов больше 64

sudo tcpdump -i eth0 greater 64

Сохранить весь udp трафик проходящий интерфейс eth0 в файл dump.pcap

sudo tcpdump -i eth0 udp -w dump.pcap

прочитать дамп dump.pcap

tcpdump -r dump.pcap

Использование SCP

SCP (secure copy) — это утилита командной строки, которая позволяет безопасно копировать файлы и каталоги между двумя локациями. Базовая технология для работы scp - это SSH(Secure Shell)

С помощью scp можно скопировать файл или каталог:

  • От локальной машины к удаленной.
  • От удаленной системы к вашей локальной машине.
  • Между двумя удаленными системами.
Синтаксис SCP
scp [OPTION] [user@]SRC_HOST:]file1 [user@]DEST_HOST:]file2
Опции SCP
ключ Что делает
-p порт ssh на удаленной системе
-r рекурсивное копирование
Сжатие при передаче на удаленное устройство
-i n использование ключа авторизации, где n путь к файлу ключа
-1 использовать SSH 1
-2 использовать SSH 2
-4 использовать IPv4
-6 использовать IPv6
-o ssh_option Возможность использовать дополнительные опции реализованные в протоколе SSH, на месте ssh_option используется ключи используемые ssh клиентом
-q Тихий режим
ничего не выводится во время передачи
Примеры использования

Перемещение файла foobar.txt с узла resds.ru под пользователем test в локальную домашнию директорию

scp test@resds.ru:foobar.txt ~/