Tcpdump - наблюдавайте мрежата, rizloff

порт ftp-данни

Доста често се налага да се разбере състоянието на мрежата. Или просто за общообразователни цели - за да разберете как мрежовите обекти взаимодействат помежду си. Или с цел да разследва къде седи ужасната грешка:). И за тези цели те управляват в unix. Защото всичко разумно се пише за niks и чак след това се пренася в Windows.
Днес ще говорим за една такава програма - tcpdump.

tcpdump (от TCP и английски dump - dump, dump) - помощна програма UNIX, която ви позволява да прихващате и анализирате мрежовия трафик, преминаващ през компютъра, на който се изпълнява тази програма.

Основните приложения на tcpdump са:

  • Отстраняване на грешки в мрежовите приложения.
  • Отстраняване на грешки в мрежата и мрежовата конфигурация като цяло.

Как работи Tcpdump

Тоест при стартиране ние посочваме какво искаме да намерим в тази планина от информация, която ще премине през интерфейса. И трябва да посочите чрез ключове и изрази.

Описание на някои от клавишите

Филтрирайте израз

Изразът избира кои пакети ще бъдат избрани от общия поток. Ако не е посочено, всички пакети, преминаващи през интерфейса, ще бъдат избрани и показани. В противен случай ще бъдат обработени само онези пакети, за които проверката с израз ще върне стойността "true".

Изразът се състои от един или повече примитиви. Примитивите обикновено се състоят от идентификатор (име или номер), последван от един или повече класификатори.

Три вида класификатори:

  • Тип Те казват към какъв тип документ за самоличност да се отнасят. Възможните стойности са хост, мрежа или порт.
    Пример: ‘host foo’, ‘net 128.3’, ‘port 20’. Ако типът на класификатора не е посочен, тогава се приема хост.
  • реж Определя конкретната посока на предаване "до" и/или "от" ID. Възможните стойности са src, dst, src или dst и src и dst.
    Пример, ‘src foo’, ‘dst net 128.3’, ‘src или dst port ftp-data’. Ако не е посочено, се приема src или dst. За „нулеви“ връзки (например протокол от точка до точка, като например приплъзване), посоката може да бъде посочена с помощта на входящи и изходящи класификатори.
  • прото Ограничава съвпадението до определен протокол. Възможни протоколи: етер, fddi, tr, ip, ip6, arp, rarp, decnet, tcp и udp.
    Пример, ‘ether src foo’, ‘arp net 128.3’, ‘tcp port 21’. Ако не е посочен класификаторът на прото, тогава се приемат всички изброени типове протоколи. Например, "src foo означава" (ip или arp или rarp) src foo "," net bar "означава" (ip или arp или rarp) net bar ", а" порт 53 "означава" (tcp или udp) порт 53 '.