Tcpdump: Nettverksfeilsøking med kommandolinjen

by
Tweet
Share
Share
Pin
0 Shares

tcpdump er et utmerket kommandolinjeverktøy som brukes til å inspisere nettverkstrafikk. Det er anerkjent som en bransjestandard for å fange opp og analysere TCP/IP-pakker.

Dette verktøyet er ekstremt nyttig når du skal feilsøke nettverksproblemer. Du kan lagre pakkene i en fil for senere analyse. Det er en god praksis å bruke dette verktøyet regelmessig for å overvåke nettverket ditt.

Forstå tcpdump-utdata

tcpdump gir deg mulighet til å undersøke overskriftene i TCP/IP-pakkene. For hver pakke skrives det ut en linje, og kommandoen fortsetter å kjøre til du stopper den med Ctrl+C.

La oss se nærmere på en linje fra et eksempel:

20:58:26.765637 IP 10.0.0.50.80 > 10.0.0.1.53181: Flags [F.], seq 1, ack 2, win 453, options [nop,nop,TS val 3822939 ecr 249100129], length 0

Hver linje inneholder følgende informasjon:

  • Tidsstempel i Unix-format (20:58:26.765637)
  • Protokolltype (IP)
  • Kildevertsnavn eller IP-adresse, samt portnummer (10.0.0.50.80)
  • Destinasjonsvertsnavn eller IP-adresse, samt portnummer (10.0.0.1.53181)
  • TCP-flagg (Flagg [F.]). Flagg indikerer statusen til tilkoblingen. Dette kan inkludere flere verdier, som i dette tilfellet [F.], som står for FIN-ACK. Dette feltet kan ha følgende verdier:
    • S – SYN. Det innledende steget i en tilkoblingsetablering.
    • F – FIN. Avslutning av tilkoblingen.
    • . – ACK. Bekreftelse på at pakken er mottatt.
    • P – PUSH. Ber mottakeren om å behandle pakker i stedet for å bufre dem.
    • R – RST. Kommunikasjonen er stoppet.
  • Sekvensnummeret for dataene i pakken (seq 1)
  • Bekreftelsesnummer (ack 2)
  • Vindustørrelse (win 453), som viser antall byte tilgjengelig i mottaksbufferen. Dette etterfølges av TCP-alternativer.
  • Lengden på datanyttelasten (lengde 0)

Installasjonsprosess

På Debian-baserte systemer kan tcpdump installeres ved hjelp av APT-kommandoen:

# apt install tcpdump -y

På systemer som bruker RPM, kan tcpdump installeres med YUM:

# yum install tcpdump -y

Eller bruk DNF hvis du har RHEL 8:

# dnf install tcpdump -y

Kommandoalternativer i tcpdump

Du må ha root-tilgang for å kjøre tcpdump. Verktøyet har mange alternativer og filtre. Hvis du kjører tcpdump uten noen alternativer, vil den fange opp alle pakker som flyter gjennom standardgrensesnittet.

For å se en liste over tilgjengelige nettverksgrensesnitt som tcpdump kan bruke til å fange opp pakker, kan du bruke denne kommandoen:

# tcpdump -D

Eller:

# Tcpdump --list-interfaces
1.eth0
2.nflog (Linux netfilter log (NFLOG) interface)
3.nfqueue (Linux netfilter queue (NFQUEUE) interface)
4.eth1
5.any (Pseudo-device that captures on all interfaces)
6.lo [Loopback]

Dette er spesielt nyttig for systemer som ikke har en egen kommando for å vise grensesnitt.

For å fange pakker som går gjennom et spesifikt grensesnitt, bruker du -i-flagget etterfulgt av grensesnittnavnet. Hvis du utelater -i-grensesnittet, vil tcpdump fange opp det første nettverksgrensesnittet den finner.

# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
01:06:09.278817 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 4761, seq 1, length 64
01:06:09.279374 IP 10.0.0.51 > vagrant-ubuntu-trusty-64: ICMP echo reply, id 4761, seq 1, length 64
01:06:10.281142 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 4761, seq 2, length 64

-v-flagget gir deg mer detaljert informasjon om pakkene, og -vv gir deg enda flere detaljer.

Som standard prøver tcpdump å løse IP-adresser til vertsnavn og bruker tjenestenavn i stedet for portnumre. Hvis DNS er nede, eller du ikke ønsker at tcpdump skal utføre navneoppslag, bruk -n-alternativet.

# tcpdump -n
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
04:19:07.675216 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 2186733178:2186733278, ack 204106815, win 37232, length 100
04:19:07.675497 IP 10.0.2.2.50422 > 10.0.2.15.22: Flags [.], ack 100, win 65535, length 0
04:19:07.675747 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 100:136, ack 1, win 37232, length 36
04:19:07.675902 IP 10.0.2.2.50422 > 10.0.2.15.22: Flags [.], ack 136, win 65535, length 0
04:19:07.676142 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 136:236, ack 1, win 37232, length 100

For å fange et begrenset antall linjer, for eksempel 5, bruker du -c-flagget:

#tcpdump -c 5
04:19:07.675216 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 2186733178:2186733278, ack 204106815, win 37232, length 100
04:19:07.675497 IP 10.0.2.2.50422 > 10.0.2.15.22: Flags [.], ack 100, win 65535, length 0
04:19:07.675747 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 100:136, ack 1, win 37232, length 36
04:19:07.675902 IP 10.0.2.2.50422 > 10.0.2.15.22: Flags [.], ack 136, win 65535, length 0
04:19:07.676142 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 136:236, ack 1, win 37232, length 100
5 packets captured

Standard tcpdump-utdata bruker Unix-tidsstempler. For å fange pakker med et tidsstempel som er lett å lese, bruk følgende:

# tcpdump -tttt
2020-07-06 04:30:12.203638 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 2186734102:2186734138, ack 204107103, win 37232, length 36
2020-07-06 04:30:12.203910 IP 10.0.2.2.50422 > 10.0.2.15.22: Flags [.], ack 36, win 65535, length 0
2020-07-06 04:30:12.204292 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 36:72, ack 1, win 37232, length 36
2020-07-06 04:30:12.204524 IP 10.0.2.2.50422 > 10.0.2.15.22: Flags [.], ack 72, win 65535, length 0
2020-07-06 04:30:12.204658 IP 10.0.2.15.22 > 10.0.2.2.50422: Flags [P.], seq 72:108, ack 1, win 37232, length 36

Filteruttrykk i tcpdump

Filteruttrykk brukes til å velge hvilke pakkeoverskrifter som skal vises. Hvis ingen filtre brukes, vises alle pakkeoverskrifter. Vanlige filtre inkluderer port, host, src, dst, tcp, udp og icmp.

Portfilter

Bruk portfilter for å vise pakker som ankommer en bestemt port:

# Tcpdump -i eth1 -c 5 port 80
23:54:24.978612 IP 10.0.0.1.53971 > 10.0.0.50.80: Flags [SEW], seq 53967733, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 256360128 ecr 0,sackOK,eol], length 0
23:54:24.978650 IP 10.0.0.50.80 > 10.0.0.1.53971: Flags [S.E], seq 996967790, ack 53967734, win 28960, options [mss 1460,sackOK,TS val 5625522 ecr 256360128,nop,wscale 6], length 0
23:54:24.978699 IP 10.0.0.1.53972 > 10.0.0.50.80: Flags [SEW], seq 226341105, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 256360128 ecr 0,sackOK,eol], length 0
23:54:24.978711 IP 10.0.0.50.80 > 10.0.0.1.53972: Flags [S.E], seq 1363851389, ack 226341106, win 28960, options [mss 1460,sackOK,TS val 5625522 ecr 256360128,nop,wscale 6], length 0

Vertsfilter

For å fange opp alle pakker som sendes til eller fra verten med IP-adressen 10.0.2.15:

# tcpdump host 10.0.2.15
03:48:06.087509 IP 10.0.2.15.22 > 10.0.2.2.50225: Flags [P.], seq 3862934963:3862934999, ack 65355639, win 37232, length 36
03:48:06.087806 IP 10.0.2.2.50225 > 10.0.2.15.22: Flags [.], ack 36, win 65535, length 0
03:48:06.088087 IP 10.0.2.15.22 > 10.0.2.2.50225: Flags [P.], seq 36:72, ack 1, win 37232, length 36
03:48:06.088274 IP 10.0.2.2.50225 > 10.0.2.15.22: Flags [.], ack 72, win 65535, length 0
03:48:06.088440 IP 10.0.2.15.22 > 10.0.2.2.50225: Flags [P.], seq 72:108, ack 1, win 37232, length 36

For å fange opp pakker av en spesifikk protokolltype, for eksempel icmp, på eth1-grensesnittet:

# tcpdump -i eth1 icmp
04:03:47.408545 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 2812, seq 75, length 64
04:03:47.408999 IP 10.0.0.51 > vagrant-ubuntu-trusty-64: ICMP echo reply, id 2812, seq 75, length 64
04:03:48.408697 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 2812, seq 76, length 64
04:03:48.409208 IP 10.0.0.51 > vagrant-ubuntu-trusty-64: ICMP echo reply, id 2812, seq 76, length 64
04:03:49.411287 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 2812, seq 77, length 64

Kombinere filteruttrykk

Du kan kombinere filteruttrykkene ved hjelp av AND-, OR- og NOT-operatorene. Dette gjør det mulig å skrive kommandoer som kan isolere pakker mer presist:

Pakker fra en spesifikk IP-adresse og som er destinerte til en bestemt port:

# tcpdump -n -i eth1 src 10.0.0.1 and dst port 80
00:18:17.155066 IP 10.0.0.1.54222 > 10.0.0.50.80: Flags [F.], seq 500773341, ack 2116767648, win 4117, options [nop,nop,TS val 257786173 ecr 5979014], length 0
00:18:17.155104 IP 10.0.0.1.54225 > 10.0.0.50.80: Flags [S], seq 904045691, win 65535, options [mss 1460,nop,wscale 5,nop,nop,TS val 257786173 ecr 0,sackOK,eol], length 0
00:18:17.157337 IP 10.0.0.1.54221 > 10.0.0.50.80: Flags [P.], seq 4282813257:4282813756, ack 1348066220, win 4111, options [nop,nop,TS val 257786174 ecr 5979015], length 499: HTTP: GET / HTTP/1.1
00:18:17.157366 IP 10.0.0.1.54225 > 10.0.0.50.80: Flags [.], ack 1306947508, win 4117, options [nop,nop,TS val 257786174 ecr 5983566], length 0

For å fange opp alle pakker som ikke er av typen ICMP, bruker du NOT-operatoren:

# tcpdump -i eth1 not icmp

Lagre pakkehoder til en fil

Siden utdataene fra tcpdump kan rulle forbi skjermen raskt, kan du lagre pakkeoverskriftene i en fil med -w-flagget. Filene som brukes for å lagre utdata, bruker pcap-format og har filtypen .pcap.

PCAP står for packet capture (pakkeopptak). Følgende kommando lagrer 10 linjer med utdata fra eth1-grensesnittet til icmp.pcap:

# tcpdump -i eth1 -c 10 -w icmp.pcap
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
10 packets captured
10 packets received by filter
0 packets dropped by kernel

Du kan lese denne filen med -r-flagget:

tcpdump -r icmp.pcap
reading from file icmp.pcap, link-type EN10MB (Ethernet)
05:33:20.852732 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 3261, seq 33, length 64
05:33:20.853245 IP 10.0.0.51 > vagrant-ubuntu-trusty-64: ICMP echo reply, id 3261, seq 33, length 64
05:33:21.852586 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 3261, seq 34, length 64
05:33:21.853104 IP 10.0.0.51 > vagrant-ubuntu-trusty-64: ICMP echo reply, id 3261, seq 34, length 64
05:33:22.852615 IP vagrant-ubuntu-trusty-64 > 10.0.0.51: ICMP echo request, id 3261, seq 35, length 64

Visning av pakkedetaljer

Hittil har vi bare sett pakkeoverskriftene. For å se pakkeinnholdet bruker du -A-alternativet. Dette viser pakkeinnholdet i ASCII, noe som kan være nyttig for nettverksfeilsøking. Du kan også bruke -X-flagget for å vise utdata i heksadesimalt format. Dette kan være mindre nyttig hvis tilkoblingen er kryptert.

# tcpdump -c10 -i eth1 -n -A port 80
23:35:53.109306 IP 10.0.0.1.53916 > 10.0.0.50.80: Flags [P.], seq 2366590408:2366590907, ack 175457677, win 4111, options [nop,nop,TS val 255253117 ecr 5344866], length 499: HTTP: GET / HTTP/1.1
E..'[email protected]@.%.
...
..2...P..M.
uE............
.6.}.Q.bGET / HTTP/1.1
Host: 10.0.0.50
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
If-Modified-Since: Tue, 04 Mar 2014 11:46:45 GMT

Konklusjon

tcpdump er enkelt å sette opp, og når du først forstår utdataene, de forskjellige flaggene og filtrene, kan du bruke det til å feilsøke nettverksproblemer og sikre nettverket ditt.