Пакетные анализаторы трафика
Цель:
Приобрести навыки работы с пакетными анализатороми трафика
Задачи:
- Подключится к виртуальной машине на облачной платформе СПбГУТ
- Установить tcpdump
- Получить навыки работы c tcpdump
- Получить навыки работы c SCP
- Получить навыки работы с Wireshark
Работа с анализатором пакетов tcpdump
tcpdump -это компьютерная программа анализатор пакетов работающая через интерфейс командной строки. Она позволяет пользователю отображать пакеты, передаваемые или получаемые по сети
Синтаксис tcpdump
tcpdump {опции} -i {название интерфейса} {Фильтры}
опции tcpdump
Ключ опции | Что делает |
---|---|
-A | Вывод пакетов в кодировке ASCI |
-c n | перехватить n пакетов |
-C n | создание дампа трафика определенного размере, при генерации больше заданого создать новый файл для дампа, где n размер пакета по умолчанию указывается 1000000 байт Добавив к значению суффикс k/K, m/M или g/G, единицу измерения можно изменить на 1,024 (КиБ), 1,048,576 (МиБ) или 1,073,741,824 (ГиБ) соответственно. |
-D | вывести список сетевых интерфейсов |
-e | выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса |
-n | не отображать домены |
-K | не проверять контрольные суммы пакетов |
-w {название дампа}.pcap | запись вывода в файл |
-r {название дампа}.pcap | чтение дампа созданного с помощью ключа -w |
-v -vv -vvv | Более подробный вывод, желательно устанавливать -vvv, для дальнейшей работы |
-q | выводить минимум информации |
Примеры работы с tcpdump
Просмотр всех интерфейсов
tcpdump -D
Просмотр всего трафика на интерфейсе
с адресом назначения eth0eno0192.168.0.18.8.8.8
sudo tcpdump -i eth0 ip dst 192.168.0.18.8.8.8
Просмотр всего трафика на интерфейсе
с адресом отправки eth0eno0192.168.0.18.8.8.8
sudo tcpdump -i eth0eno0 ip src 192.168.0.18.8.8.8
Просмотр всего трафика на интерфейсе
с доменным именем назначения eth0eno0resds.ru
sudo tcpdump -i eth0eno0 host dst resds.ru
Просмотр всего трафика на интерфейсе eth0
с доменном отправки resds.ru
sudo tcpdump -i eth0 host src resds.ru
Просмотр трафика на интерфейсу eth0
с использованием 80
порта
sudo tcpdump -i eth0 port 80
Просмотр трафика на интерфейсе eth0
использующих диапозон портов 80-443
sudo tcpdump -i eth0 portrange 80-443
Также для некоторых протоколов существуют готовые фильтры к примеру можно отфильтровать все arp
пакеты интерфейса eth0
sudo tcpdump -i eth0 arp
Возможно филтрация по размеру пакета, так мы можем отфильтровать все пакеты меньше 64 байт
sudo tcpdump -i eth0 less 64
Фильтрация пакетов больше 64
sudo tcpdump -i eth0 greater 64
Сохранить весь udp
трафик проходящий интерфейс eth0
в файл dump.pcap
sudo tcpdump -i eth0 udp -w dump.pcap
прочитать дамп dump.pcap
tcpdump -r dump.pcap
Использование SCP
SCP (secure copy) — это утилита командной строки, которая позволяет безопасно копировать файлы и каталоги между двумя локациями. Базовая технология для работы scp - это SSH(Secure Shell)
С помощью scp можно скопировать файл или каталог:
- От локальной машины к удаленной.
- От удаленной системы к вашей локальной машине.
- Между двумя удаленными системами.
Синтаксис SCP
scp [OPTION] [user@]SRC_HOST:]file1 [user@]DEST_HOST:]file2
Опции SCP
ключ | Что делает |
---|---|
-p | порт ssh на удаленной системе |
-r | рекурсивное копирование |
-С | Сжатие при передаче на удаленное устройство |
-i n | использование ключа авторизации, где n путь к файлу ключа |
-1 | использовать SSH 1 |
-2 | использовать SSH 2 |
-4 | использовать IPv4 |
-6 | использовать IPv6 |
-o ssh_option | Возможность использовать дополнительные опции реализованные в протоколе SSH, на месте ssh_option используется ключи используемые ssh клиентом |
-q | Тихий режим ничего не выводится во время передачи |
Примеры использования
Перемещение файла foobar.txt
с узла resds.ru
под пользователем test
в локальную домашнию директорию
scp test@resds.ru:foobar.txt ~/