Einführung in Tcpdump

Wenn Sie einen Server betreiben, werden Sie zweifellos an einem Punkt angelangt sein, an dem Sie einige Netzwerkprobleme beheben müssen. Natürlich wäre es einfach, eine Mail an die Support-Abteilung zu senden, aber manchmal müssen Sie sich die Hände schmutzig machen. In diesem Fall tcpdumpist das Werkzeug für diesen Job. Tcpdump ist ein Netzwerkpaketanalysator, der unter der Befehlszeile ausgeführt wird.

Dieser Artikel wird in drei Teile unterteilt:

• Grundfunktionen.
• Filterung basierend auf bestimmten Verkehrseigenschaften.
• Ein kurzer Ausschnitt der erweiterten Funktionen (wie logische Ausdrücke, Filtern nach TCP-Flags).

Da tcpdump in den meisten Basissystemen nicht enthalten ist, müssen Sie es installieren. Fast alle Linux-Distributionen haben jedoch tcpdump in ihren Kern-Repositorys. Für Debian-basierte Distributionen lautet der Befehl zum Installieren von tcpdump:

apt-get install tcpdump

Verwenden Sie für CentOS / RedHat den folgenden Befehl:

yum install tcpdump

FreeBSD bietet ein vorgefertigtes Paket an, das wie folgt installiert werden kann:

pkg install tcpdump

Es gibt auch einen Port, net/tcpdumpder installiert werden kann über:

cd /usr/ports/net/tcpdump
make install clean

Wenn Sie tcpdumpohne Argumente arbeiten, werden Sie mit Ergebnissen geschlagen. Wenn Sie es hier auf Vultr weniger als fünf Sekunden lang auf einer frisch gesponnenen Instanz ausführen, erhalten Sie die folgenden Ergebnisse:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Bevor Sie näher auf das Filtern von Eingaben eingehen, sollten Sie sich einige Parameter ansehen, die an tcpdump übergeben werden können:

• -i- Gibt die Schnittstelle an, die Sie abhören möchten, zum Beispiel : tcpdump -i eth0.
• -n- Versuchen Sie nicht, Reverse-Lookups für IP-Adressen durchzuführen, zum Beispiel: tcpdump -n(Wenn Sie einen weiteren ntcpdump hinzufügen, werden Ihnen Portnummern anstelle von Namen angezeigt).
• -X- Zeigen Sie den Inhalt der gesammelten Pakete an : tcpdump -X.
• -c- Nur xPakete erfassen , da xes sich um eine beliebige Zahl handelt, tcpdump -c 10erfasst beispielsweise genau 10 Pakete.
• -v- Erhöhen Sie die Menge der angezeigten vPaketinformationen , und fügen Sie mehr Ausführlichkeit hinzu.

Jeder dieser hier genannten Parameter kann miteinander kombiniert werden. Wenn Sie 100 Pakete erfassen möchten, jedoch nur auf Ihrer VPN-Schnittstelle tun0, sieht der Befehl tcpdump folgendermaßen aus:

tcpdump -i tun0 -c 100 -X

Zusätzlich zu diesen wenigen gibt es Dutzende (wenn nicht Hunderte) von Optionen, aber sie sind die häufigsten. Fühlen Sie sich frei, die Manpage von tcpdump auf Ihrem System zu lesen.

Nachdem Sie sich mit tcpdump vertraut gemacht haben, ist es an der Zeit, sich eine der beeindruckendsten Funktionen von tcpdump anzusehen: Ausdrücke. Ausdrücke werden Ihr Leben viel einfacher machen. Sie werden auch als BPF- oder Berkeley-Paketfilter bezeichnet. Mithilfe von Ausdrücken können Sie Pakete basierend auf bestimmten Merkmalen wie Ursprung, Ziel, Größe oder sogar TCP-Sequenznummer selektiv anzeigen (oder ignorieren).

Bisher haben Sie es geschafft, Ihre Suche auf eine bestimmte Anzahl von Paketen auf einer bestimmten Schnittstelle zu beschränken, aber seien wir hier ehrlich: Dadurch bleibt immer noch zu viel Hintergrundrauschen, um effektiv mit den gesammelten Daten zu arbeiten. Hier kommen Ausdrücke ins Spiel. Das Konzept ist ziemlich einfach, daher lassen wir die Trockentheorie hier weg und unterstützen das Verständnis mit einigen praktischen Beispielen.

Die Ausdrücke, die Sie wahrscheinlich am häufigsten verwenden werden, sind:

• host - Suchen Sie nach Datenverkehr basierend auf Hostnamen oder IP-Adressen.
• srcoder dst- Suchen Sie nach Datenverkehr von oder zu einem bestimmten Host.
• proto- Suchen Sie nach Datenverkehr eines bestimmten Protokolls. Funktioniert für TCP, UDP, ICMP und andere. Das Weglassen des protoSchlüsselworts ist ebenfalls möglich.
• net - Suchen Sie nach Datenverkehr zu / von einem bestimmten Bereich von IP-Adressen.
• port - Suchen Sie nach Verkehr zu / von einem bestimmten Hafen.
• greateroder less- Suchen Sie nach Datenverkehr, der größer oder kleiner als eine bestimmte Anzahl von Bytes ist.

Während die Manpage für tcpdumpnur einige Beispiele enthält, enthält die Manpage für pcap-filtersehr detaillierte Erklärungen zur Funktionsweise und Anwendung der einzelnen Filter.

Wenn Sie sehen möchten, wie Ihre Kommunikation mit einem bestimmten Server verläuft, können Sie hostbeispielsweise das Schlüsselwort verwenden (einschließlich einiger der oben genannten Parameter):

tcpdump -i eth0 host vultr.com

Manchmal gibt es Computer im Netzwerk, die die MTU nicht ehren oder Sie mit großen Paketen spammen. Das Herausfiltern kann manchmal schwierig sein. Mit Ausdrücken können Sie Pakete herausfiltern, die größer oder kleiner als eine bestimmte Anzahl von Bytes sind:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Vielleicht ist nur ein bestimmter Hafen für Sie von Interesse. Verwenden Sie in diesem Fall den portAusdruck:

tcpdump -i eth0 -X port 21

Sie können auch nach Portbereichen Ausschau halten:

tcdump -i eth0 -X portrange 22-25

Da NAT-Gateways häufig verwendet werden, suchen Sie möglicherweise nur nach Zielports:

tcpdump dst port 80

Wenn Sie den Datenverkehr zu Ihrem Webserver überwachen, möchten Sie möglicherweise nur den TCP-Datenverkehr zu Port 80 anzeigen:

tcpdump tcp and dst port 80

Sie fragen sich wahrscheinlich, was das Schlüsselwort anddort tut. Gute Frage. Das bringt uns zum letzten Teil dieses Artikels.

tcpdump bietet grundlegende Unterstützung für logische Ausdrücke, insbesondere:

• and/ &&- Logisches "und".
• or/ ||- Logisches "oder".
• not/ !- Logisch "nicht".

Zusammen mit der Möglichkeit, Ausdrücke zu gruppieren, können Sie so sehr leistungsfähige Suchvorgänge für eingehenden und ausgehenden Datenverkehr erstellen. Filtern wir also den Datenverkehr von vultr.com auf Port 22 oder 443 heraus:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Wenn Sie dies in der Befehlszeile ausführen, wird der folgende Fehler angezeigt:

bash: syntax error near unexpected token `('

Das liegt daran, dass es eine Einschränkung gibt: Es wird bashversucht, jeden Charakter zu bewerten, den es kann. Dies beinhaltet die (und )Zeichen. Um diesen Fehler zu vermeiden, sollten Sie den kombinierten Ausdruck in einfache Anführungszeichen setzen:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Ein weiteres nützliches Beispiel: Wenn Sie SSH-Probleme mit einem Ihrer Benutzer debuggen, möchten Sie möglicherweise alles ignorieren, was mit Ihrer SSH-Sitzung zusammenhängt:

tcpdump '!(host $youripaddress) && port 22)'

Auch hier sind die Anwendungsfälle endlos, und Sie können in extremen Tiefen angeben, welche Art von Verkehr Sie sehen möchten. Der folgende Befehl zeigt nur SYNACK-Pakete eines TCP-Handshakes an:

tcpdump -i eth0 'tcp[13]=18'

Dies funktioniert, indem der dreizehnte Versatz des TCP-Headers und das achtzehnte Byte darin betrachtet werden.

Wenn Sie es bis hierher geschafft haben, sind Sie für die meisten auftretenden Anwendungsfälle bereit. Ich kann die Oberfläche kaum berühren, ohne auf zu viele Details einzugehen. Ich empfehle Ihnen dringend, etwas weiter mit den verschiedenen Optionen und Ausdrücken zu experimentieren. und wie gewohnt: Verweisen Sie auf die Manpage, wenn Sie sich verlaufen.

Last but not least - ein kurzer Rückblick. Erinnerst du dich an den Anfang dieses Artikels? Mit den Tausenden von Paketen, die in Sekundenschnelle erfasst wurden? Die Kraft von tcpdumpkann das eine ganze Menge reduzieren:

tcpdump -i eth0 tcp port 22

Das Ergebnis ist jetzt:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Dies ist viel vernünftiger und einfacher zu debuggen. Viel Spaß beim Networking!